En la jornada se abordaron los diversos desafíos en materia de gestión contractual aplicada en materia de seguridad de la información, respecto a la evaluación de riesgos de terceros en la cadena de suministro y la inclusión de cláusulas para mitigar riesgos con proveedores. 

A días de comenzar el Mes de Ciberseguridad, la Dirección ChileCompra junto a la Agencia Nacional de Ciberseguridad y la Alianza Chilena de Ciberseguridad participaron este jueves 25 de septiembre de la segunda Mesa Ciberseguridad del sector público, iniciativa impulsada también por la Contraloría General de la República y que busca fortalecer las capacidades y estrategias en materia de ciberseguridad de las diferentes instituciones del Estado. 

Ante funcionarios públicos y encargados de ciberseguridad, Paolo Jeldres, Jefe de Seguridad de la Información y Ciberseguridad y la abogada Daniela Véliz de ChileCompra, explicaron cómo la institución ha incorporado cláusulas controlables y fiscalizables para realizar compras públicas más seguras. 

En la oportunidad, detallaron 15 cláusulas que han sido utilizadas por ChileCompra en sus distintos procesos de compra y que pueden ser replicadas por otros organismos públicos. Entre estas, se cuentan las que resguardan la responsabilidad y confidencialidad de la información; el hallazgo y notificación de vulnerabilidades; la eliminación segura de datos y el acceso a los sistemas internos, entre otras.  

Para poder compartir la experiencia y los aprendizajes de la incorporación de estas cláusulas, se anunció la publicación de una nueva directiva de compras que entregará orientaciones a las entidades respecto a cómo incluir estas condiciones en sus bases de licitación y así mitigar posibles riesgos. 

“Mirando en retrospectiva el ataque informático que sufrió nuestro proveedor de infraestructura en el año 2023, resulta necesario contar con cláusulas controlables y fiscalizables. Hasta antes la contingencia, ChileCompra tenía un protocolo de buenas prácticas y responsabilidades globales del proveedor, pero no eran controlables y fiscalizables, lo que impedía tener mayor control al momento de la ejecución de los contratos” indicó Paolo Jeldres. De esta manera, ahora, gracias a este tipo de condiciones se pueden reducir los impactos y realizar mayores exigencias al proveedor.  

Al respecto, la abogada de ChileCompra, Daniela Véliz, llamó a los funcionarios a incorporar este tipo de resguardos siempre que no contradigan ni la Ley de Compras Públicas ni su Reglamento: “Existen distintos grados de madurez en la confección de las bases de licitación y para algunos el tema de incluir cláusulas en materia de ciberseguridad es algo relativamente nuevo. Lo importante es que una vez que se incluyan las cláusulas, estas sean exigidas al proveedor y se apliquen las medidas sancionatorias cuando corresponda y con gradualidad”. En este punto, llamó a trabajar de manera coordinada con las áreas requirentes, fiscalías y los encargados de seguridad de la información, de modo de incluir las cláusulas sin desincentivar la participación de los proveedores, teniendo siempre a un responsable para la fiscalización de estas mismas. 

Paolo Jeldrés explicó a su vez que las 15 cláusulas levantadas por ChileCompra funcionan de forma independiente y agregó que su uso dependerá del rubro de la contratación, siendo indispensables para los servicios de desarrollo tecnológico y data center u otros que acceden a información sensible de las instituciones.   

En la jornada también expusieron, Daniel Álvarez, director de la Agencia Nacional de Ciberseguridad, quien en sus palabras de bienvenida señaló que, desde la creación de la institución en enero de este año, han identificado la criticidad de distintos contratos del Estado. “Existen proveedores que son esenciales en la provisión de sus servicios, por lo que es clave que los distintos organismos puedan identificar adecuadamente los riesgos, como mitigarlos y gestionarlos”, indicó. Al respecto recordó que hasta el 16 de octubre se encuentra abierta la Consulta Pública en donde la ciudadanía podrá enviar sus comentarios respecto a los Operadores de Importancia Vital (OIV), en el marco de la implementación de la Ley N.º 21.633. Entre esos se cuentan organizaciones privadas y públicas como organizaciones responsables de la generación, transmisión o distribución eléctrica, empresas de telecomunicaciones, servicios financieros y los propios organismos del Estado.  

Finalmente, también realizó una presentación, Narciso Basic, director de la Alianza Chilena de Ciberseguridad, quien abordó la evaluación de riesgos de terceros en la cadena de suministro, entregando una propuesta de pauta posible para velar por la calidad de los servicios entregados de parte de proveedores.