Hace pocas semanas, la página del Poder Judicial dejó de funcionar por algunas horas tras un ataque masivo a más de 150 computadores de la institución, vulnerando así la ciberseguridad del sistema de justicia chileno. Una situación más grave se vivió en la inteligencia militar del país en septiembre, cuando hackers difundieron correos internos del Estado Mayor Conjunto, que es el órgano asesor del Ministerio de Defensa, con integrantes del Ejército, la Fuerza Aérea y la Armada
No son casos aislados: cada vez son más las instituciones y empresas que están enfrentando dificultades para resguardar y proteger sus datos en Internet, ya que los ciberataques utilizan estrategias más sofisticadas para sobrepasar los controles de seguridad.
“En el último tiempo, a propósito de los diversos incidentes de ciberseguridad, las organizaciones de sectores no regulados son cada vez más conscientes de la importancia de gestionar adecuadamente los datos. Esto se da especialmente en aquellos relacionados con sus consumidores”, dice Valentín Soulages, Socio de Risk Advisory en Deloitte.
Las compañías que están más avanzadas en este tema son las que operan en sectores regulados, como las ligadas a telecomunicaciones o las de la industria financiera: “Han tenido que actuar de manera proactiva, identificando qué tipo de datos se encuentran en su interior y cómo son utilizados, junto a medidas de seguridad que se adoptan para resguardarlos, junto a otros aspectos que los reguladores han pedido tener en consideración para el cumplimiento de la normativa”, señala el socio.
En esto coincide Ricardo Seguel, director académico del Magíster en Ciberseguridad de la Universidad Adolfo Ibáñez (UAI), quien señala que estas empresas han invertido en ciberseguridad por más de 10 años de forma consistente. “El reforzamiento de las normas de cada regulador en materia de ciberseguridad ha ayudado a equiparar los estándares en protección de datos y seguridad de la información. Sin embargo, empresas en industrias no reguladas y las instituciones públicas están al debe”, indica.
Por dónde partir
Iván Toro, CEO de ITQ Latam, comenta que los ejecutivos están tomando un poco más de conciencia en la importancia de resguardar los datos, pero muchos lo hacen a un nivel muy básico: “Todavía falta inversión en procesos y tecnologías de protección de datos y de recuperación de información”. El foco, dice, debería estar en la resiliencia.
La implementación de una estrategia robusta de ciberseguridad requiere de cumplir ciertas etapas para poder gestionarlos de buena manera. La primera, explica Toro, es el proceso de conocerse, ya sea mediante un diagnóstico realizado por un tercero o una autoevaluación dirigida por colaboradores internos con conocimiento en privacidad y protección de datos.
El problema es que las empresas tienen la idea de que se encuentran en un bajo nivel de avance en la gestión de datos personales, pero no saben concretamente en cuáles aspectos, por lo que, de acuerdo con Soulages, tomar como referencia regulaciones más avanzadas, como el Reglamento General de Protección de Datos Personales (GDPR) de Europa, puede servir como punto de partida para avanzar y corregir las brechas detectadas, de acuerdo a cada realidad organizacional. “Es imposible abordarlas todas en un corto tiempo, puesto que dependerá del nivel de riesgo en cuanto al tipo de dato que se maneja, y si la compañía ha pensado incorporar el uso de tecnologías disruptivas que pueden ser un diferenciador al momento de prestar ciertos servicios”, añade el socio de Deloitte.
Capital humano
Seguel acota que un sistema de ciberdefensa robusto implementa estándares internacionales como las ISO27001, NIST CSF, CIS Controls, “que combinan controles tecnológicos, físicos y administrativos (políticas, procesos, procedimientos y protocolos), junto con una cultura organizacional concientizada en materias de ciberseguridad y protección de datos”, ya que destaca que más del 70% de las brechas de seguridad son ocasionadas por fallas de las personas y procesos más que la tecnología.
Por ello, es importante que las empresas tengan una gobernanza clara al respecto, que asegure que tiene un rol relevante en la estrategia: “Es importante no confundirlo con solo nombrar a un Data Protection Officer (DPO) o delegado de Protección de Datos Personales, que, si bien tiene un rol preponderante en liderar un programa de protección de datos personales, es importante que exista un efectivo y real apoyo de la Alta Dirección”, agrega el académico de la UAI.
Nury Ávila, Líder de calidad de Talento Digital para Chile, acota que la ciberseguridad pasa a ser hoy un indispensable de competencia para las empresas”, lo que conlleva a un trabajo, también, de buscar especialistas en este ámbito, con altos estándares en calidad e innovación y metodologías de punta.