¿Es Chile un país robusto en seguridad de la información?

¿Es Chile un país robusto en seguridad de la información?
La gobernanza de este tema es fundamental y prioritaria.César Pallavicini, CEO de Pallavicini Consultores

La pandemia llevó a la mayoría de las empresas a recurrir al teletrabajo de forma apresurada, sin procedimientos y sin herramientas tecnológicas probadas.

Decir que Chile es un país que ha logrado un buen avance en ciberseguridad no es una falacia, pero si establecemos que la ciberseguridad es solo un subconjunto dentro de lo que engloba todo lo relacionado a la seguridad de la información, es posible afirmar que el estado de madurez de Chile en esta última materia es bajo. Las cifras así lo demuestran. De hecho, existen alrededor de 140 empresas certificadas en un SGSI ISO 27001. Esta cantidad es mínima comparada con las más de 500 mil empresas de un cierto tamaño.

Un sector de avanzada en materias de seguridad de la información es el financiero, regulado por la Comisión para el Mercado Financiero, CMF, que desde hace años aplica la normativa Basilea II de Gestión de Riesgo Operacional.

Esta ha obligado a los bancos a desarrollar la gestión de seguridad de la información, incluyendo la ciberseguridad y a hacer extensivo el cumplimiento de los 3 pilares de riesgo operacional a sus proveedores críticos. En concreto, cuando una empresa de servicios, en su mayoría TIC, se presenta a una licitación y bien presenta una propuesta al sector financiero o de seguros, debe presentar evidencia de:

  1. Contar con un modelo de seguridad de la información basado en la norma ISO 27002.
  2. Contar, idealmente, con un sistema de gestión de seguridad de la información SGSI 2700.
  3. Contar, en algunos proyectos para grandes empresas, con un Plan de Continuidad de Negocio basado en la norma ISO 22301.

Otro aspecto que resulta clave considerar es que la pandemia llevó a la mayoría de las empresas a recurrir al teletrabajo de forma apresurada, sin procedimientos y sin herramientas tecnológicas probadas, teniendo como objetivo prioritario la continuidad de la operación. Entonces, al generarse grandes vulnerabilidades en el trabajo/casa, los ciberatacantes apuntaron justamente ahí, y las estadísticas a la fecha muestran un aumento del 540% en ciberataques en Chile, cifra superior al incremento del 350% registrado para América Latina.

La gran lección es que no se puede poner en riesgo la seguridad de la información de la empresa por dar continuidad operativa al negocio. Estos dos pilares y sus estrategias deben estar en equilibrio y, por ello, todas las organizaciones debieran considerar la mitigación de sus riesgos.

Sin embargo, para las compañías de servicios, especialmente aquellas que trabajan con instituciones reguladas, como la financiera, velar por la gestión de la seguridad de la información no solo es estratégico para el desarrollo del negocio, sino que también para mantener una relación contractual con clientes y acceder a nuevos clientes que exigen el cumplimiento de riesgo operacional.

El Estado como promotor de la seguridad de la información

Las leyes relacionadas a la gestión de riesgos operacionales llevan, lamentablemente, algunos años durmiendo en el Congreso, lo que lleva a cuestionar si existe conciencia y voluntad de avanzar por parte del Estado chileno en estas materias. Si bien existen senadores que dedican tiempo y esfuerzo a su concreción, desde afuera no se entiende la lentitud en su aprobación y entrada en vigor. En particular: las leyes de Protección de Datos Personales, de Delitos Informáticos, de Ciberseguridad y la ley de Infraestructuras Críticas, por mencionar las más relevantes del último tiempo.

Está claro, con todo lo dicho, que la gobernanza de este tema es fundamental y prioritaria. Idealmente, los presupuestos de inversión deben ser asignados y seguidos en forma separada de las inversiones en tecnologías. Así, los directivos asimilarán que es su responsabilidad asegurar la inversión de los accionistas frente a todo tipo de eventos.

Para las empresas de servicios es fundamental iniciar un camino hacia la certificación de un SGSI 27001, porque ello permitirá un nivel de madurez en seguridad de la información y así enfrentar de mejor forma el desarrollo del negocio en esta economía digital.

Ultimas Noticias

Dejar su comentario sobre esta nota

Su direccion de correo no se publica. Los datos obligatorios se encuentran identificados con un asterisco (*)