La ciberseguridad se ha convertido en una realidad palpable. Cada día más empresas vuelcan su enfoque hacia una cultura interna en la materia, principalmente por el uso de las nuevas tecnologías en el desarrollo de sus actividades empresariales, empujado con mayor auge desde el inicio de la pandemia. Con mayor frecuencia, diversas entidades se han inclinado hacia la cultura de la ciberseguridad en aras de prevenir accesos indebidos a sus sistemas tecnológicos, especialmente aquellas cuyo negocio principal consiste en ofertar bienes y servicios a terceros; donde el almacenamiento de datos e informaciones es de vital importancia para su estructura de negocio. Bajo esta premisa, las empresas han empezado a capacitar y concientizar a su personal sobre estas medidas, en busca de contar con un cuerpo de trabajo sensible a este tema de tanta relevancia e importancia.
El desarrollo de nuevas tecnologías, de la misma forma en que ha aportado al desarrollo y el crecimiento de estos negocios, dotándolos de mayor eficiencia y efectividad, ha incentivado, por su parte, el auge de ciberdelitos y ciberdelincuencia en estas esferas. En este contexto, si bien es importante que las empresas -en un rol de responsabilidad y cumplimiento normativo interno- diseñen y desarrollen políticas y medidas relativas a la ciberseguridad, el rol del regulador es preponderante a fines de establecer un marco jurídico mínimo a seguir en materia de ciberseguridad. Y es que, el principal objetivo de la ciberseguridad es servir como herramienta de prevención por excelencia para de esa firma evitar el colapso, daño, robo o cualquier otra afectación a las infraestructuras de las empresas. En este contexto, es importante resaltar algunos de los aspectos más relevantes contenidos en el último reglamento sobre ciberseguridad emitido por el Instituto Dominicano de las Telecomunicaciones (“INDOTEL”). Nos referimos a la Resolución No. 126-2021 mediante la cual se instituye el Reglamento de Ciberseguridad para la Prestación del Servicio de Acceso a Internet (el “Reglamento”). Se trata de un instrumento normativo de gran relevancia e importancia, el cual ayudará a robustecer el ordenamiento jurídico de ciberseguridad en el país, previamente iniciado mediante la Estrategia Nacional de Ciberseguridad del año 2018.
El Reglamento trae consigo una serie de novedades importantes para el sector de las telecomunicaciones, estableciendo diversas medidas de alcance general, aplicables principalmente a las prestadoras de servicios de acceso a Internet y a las prestadoras de infraestructura activa. En términos generales, las prestadoras de acceso a internet son aquellas entidades que están debidamente autorizadas por INDOTEL para prestar el servicio de acceso a Internet. Por su parte, las prestadoras de infraestructura activa se refieren a las entidades que son propietarias u operan infraestructura tecnológica física que es parte directa de soportar el servicio de acceso a internet ofrecido.
A partir de la entrada en plena vigencia del Reglamento, las prestadoras deberán contar con una estructura organizacional definida para desempeñar las funciones de ciberseguridad dentro de la entidad, así como para velar por el cumplimiento de las disposiciones del Reglamento. Ello implica que, las prestadoras deberán instituir una dependencia especifica dentro de su estructura organizativa en materia de ciberseguridad, a los fines de garantizar el continuo funcionamiento y seguridad del servicio de acceso a Internet, así como asegurar la integridad, disponibilidad y confidencialidad de las informaciones.
Asimismo, como parte de las obligaciones a cargo de las prestadoras, estas empresas deberán establecer y mantener una política de ciberseguridad para una efectiva gestión de riesgos. Esta política deberá estar acompañada de un proceso de gestión de riesgos que permita, a modo de ejemplo, la identificación, tratamiento y control de los riesgos de ciberseguridad en las distintas infraestructuras tecnológicas. El Reglamento también establece la necesidad de que las prestadoras establezcan una gestión de activos de tecnologías de la información que puedan impactar en la continuidad del servicio. Para todo lo anterior, es altamente necesario que las prestadoras establezcan programas de educación y capacitación a su personal, lo cual se encuentra regulado en el Reglamento.
Igualmente, el Reglamento establece reglas particulares a la gestión de identidades y el acceso, así como los procesos de autenticación que deben llevar a cabo las prestadoras para autenticar todo acceso a las redes y activos de la entidad. En lo que respecta a la gestión de seguridad técnica, el Reglamento dispone una serie de obligaciones relativas a: i) seguridad y resiliencia de las redes; ii) protección contra Software malicioso; iii) gestión de configuración segura; iv) gestión de cambios; v) seguridad de los datos y registros; y vi) gestión de respaldos (Backups). Otro aspecto importante se centra en que las instalaciones críticas, las cuales deben contar con medidas de seguridad física y ambiental que proporcionen protección contra acceso no autorizado, así como daños que puedan ser producidos por actos intencionales, accidentales y desastres naturales.
En lo que respecta a la privacidad, el Reglamento es enfático al disponer que las prestadoras deben aplicar y mantener políticas y procedimientos para identificar y tratar los riesgos relacionados a la recogida, procesamiento y manejo de datos personales. Dentro de los requerimientos que deben contener estas políticas se pueden destacar las siguientes:
- Evaluar el riesgo de procesamiento de datos personales.
- Implementar procedimientos para asegurar que cualquier transferencia de datos personales o sensibles esté protegida del acceso no autorizado y que solo sea procesada dentro de lo establecido en la ley.
- Establecer procedimientos que permitan a los titulares solicitar el acceso, rectificación o supresión de sus datos personales.
Un aspecto significativo y novedoso lo constituye la obligación a cargo de las prestadoras de reportar oportunamente al INDOTEL los incidentes de ciberseguridad que presente su infraestructura, redes o sistemas de información. Este reporte debe ser lo suficientemente detallado conforme a las provisiones del Reglamento. Igualmente, las prestadoras deberán reportar métricas sobre incidentes de ciberseguridad al INDOTEL cada tres meses.
En cuanto al régimen sancionador aplicable, se dispone que las prestadoras que infrinjan las disposiciones contenidas en el Reglamento podrán ser sancionadas de conformidad con los artículos 108 y siguientes de la Ley No. 153-98 general de Telecomunicaciones.
Las prestadoras contarán con un plazo de 8 meses, a partir de la publicación del Reglamento, para adecuar sus estructuras a las nuevas obligaciones instituidas en esta norma. No hay duda de que esta nueva pieza normativa viene a fortalecer el sector de las telecomunicaciones del país, específicamente en los aspectos de seguridad de infraestructura, redes y sistemas de información, así como a brindar seguridad a los usuarios de las prestadoras en cuanto a la estabilidad de los servicios y protección y seguridad de sus datos.
Este reglamento es pionero en las provisiones relativas a medidas y políticas de ciberseguridad, lo cual es de suma importancia para un sector de alto riesgo como el de las telecomunicaciones. En ese sentido, es perfectamente predecible que, con esta nueva norma, otros sectores de la economía formal también empezarán a prestar su atención en la ciberseguridad de sus infraestructuras y sistemas de información, pues cada día más continuarán aumentándose los intentos de ciberataques y fraudes a las distintas plataformas.