César Pallavicini, gerente general de Pallavicini Consultores
El estado de madurez de Chile materia de gestión de riesgos operacionales es precario, sobre todo si se considera que la ciberseguridad es parte de la seguridad de la información y las estadísticas muestran que menos de 100 empresas en el país tienen las certificaciones que corresponden. Llama, por tanto, profundamente la atención que cuando suceden los ciberataques, como la reciente filtración de datos de las tarjetas de crédito, todos los actores y directivos de empresas declaren públicamente que la ciberseguridad es clave y les importa. Eso, mientras las cifras indican que no se destinan recursos económicos para resolver los temas de seguridad de la información y continuidad de negocio, ambos pilares fundamentales de la gestión del riesgo operacional.
En las compañías locales no existe el cargo específico en ciberseguridad, como sí sucede en los países desarrollados y poco se invierte, finalmente, para proteger los negocios. Más bien se definen sencillos estándares para cumplir con la autoridad regulatoria. Ni hablar si gerentes y directivos de empresas, conocen las normativas vigentes ISO 27032 y 27018 que son claves en este ámbito. Está claro que los proyectos de ciberseguridad se siguen postergando y no hay conciencia, tampoco conocimientos, que permitan lograr un adecuado nivel de protección frente a la ciberdelincuencia.
En este contexto, resulta clave hacer algunas recomendaciones. Lo primero y más urgente es que los directivos de las empresas tomen conciencia de la importancia de la ciberseguridad y lideren un programa de gobernanza en ciberseguridad. Es importante también que los directorios de las compañías exijan y aprueben un plan de ciberseguridad con asignación de presupuesto de inversión y gasto. Y que ello se base en el crecimiento exponencial que han tenido los ciberataques en los últimos 2 años. Es urgente conocer la política nacional de ciberseguridad vigente desde el año 2017.
En forma adicional, los comités de riesgo operacional y/o seguridad de la información de las organizaciones deben ubicar en la agenda nacional el tema de la ciberseguridad y promover, al mismo tiempo, una supervisión de la implementación de herramientas de monitoreo en tiempo real a los diferentes mecanismos de defensa de seguridad. Es gravitante, además, la creación de un departamento o encargado de ciberseguridad que esté coordinado con el oficial de seguridad (OSI) y con el área de gestión de riesgo operacional. De igual forma, las áreas de auditoria Interna tienen que capacitarse en temáticas de ciberseguridad, porque es la forma de auditar su cumplimiento con los conocimientos necesarios. En igual nivel de importancia el conocimiento y adopción de estándares internacionales (ISO 27032, ISO 27018, convenio de Budapest sobre ciberdelincuencia y los frameword NIST y CIS) resultan fundamentales para gestionar y mitigar los riesgos en ciberseguridad.
Si a todo lo anterior se suma un plan permanente de educación en ciberseguridad, riesgo operacional, seguridad de la información y continuidad de negocio, en todos los niveles de la organización, se puede lograr un verdadero avance. Este tema debe ser abordado a nivel nacional por todas las entidades gubernamentales y de los diversos sectores empresariales. Se dice que se creará la Agencia Nacional de Ataques Cibernéticos. Es lo que tiene que ocurrir, así como también actualizar las leyes que están vinculadas directamente con estas problemáticas: Ley 19.223 de delitos informáticos, Ley de Protección de Datos Personales y la Ley de Propiedad Intelectual.