DF Transformación Digital | El rol del directorio en la ciberseguridad

Hernán Orellana

La gran amenaza para la digitalización es la falta de protecciones adecuadas para cautelar los activos personales o los de las empresas. El delito del robo se traslada del espacio físico al virtual y se convierte en uno de los cinco principales riesgos de la humanidad, de acuerdo con el Foro Económico Mundial. La organización se debe preparar para defender sus activos estratégicos: el dinero, la información del negocio, los datos de sus clientes, proveedores y colaboradores. Para ello, se hace necesario trabajar en tres aspectos principales: las personas, los sistemas y el gobierno.

Las personas y sus hábitos, la cultura que se instala en la organización en torno a la ciberseguridad, es clave a la hora de la búsqueda de resultados. La mayoría de los delitos asociados a robo de información en una organización nacen en su interior. El uso de claves de acceso a sistemas de colaboradores que son robadas mediante ingeniería social o entregadas libremente son la causa principal de accesos no autorizados a información sensible. Por lo tanto, se hace necesario capacitar a los colaboradores en forma permanente con respecto a la importancia de la actitud y cuidado personal como primera línea de defensa de la ciberseguridad.

La instalación de tecnología y procesos tecnológicos son claves para la debida protección. La segunda fuente de riesgos dice relación con una serie de fallas relativas a los procesos informáticos y el debido cuidado del acceso no autorizado a los sistemas. El no dar de baja inmediata a los usuarios de sistemas que han dejado de pertenecer a la organización, el no cuidar que las personas dentro de la organización tengan perfiles de acceso apropiados a sus funciones actuales y que estos perfiles se actualicen conforme al cambio de funciones de los colaboradores, son causas fundamentales de las brechas de seguridad dentro de la organización.

El compromiso de la organización con la ciberseguridad se materializa a través de un buen gobierno corporativo. Es el directorio u órgano directivo de la organización quién debe definir las políticas, estrategias, planes y programas que permitirán que la organización adopte una cultura alineada con los estándares de la ciberseguridad, junto con cautelar que se realicen las inversiones para dotar a la organización de las capacidades humanas, tecnológicas y los procesos necesarios. Una buena guía para este trabajo se encuentra en las normas de la CMF (ex SBIF), la nueva norma RAN 20-10 sobre Gestión de seguridad de la información y ciberseguridad. Otro documento muy interesante para el gobierno corporativo es el Manual de Supervisión de Riesgos Cibernéticos para Juntas Corporativas, publicado recientemente por la OEA y la Internet Security Alliance.

El establecimiento de estas mejores prácticas y su seguimiento permanente, a través de reuniones específicas para ello o como parte de las reuniones mensuales del directorio se deben transformar en parte de los rituales que conduzcan a la instalación de una cultura de ciberseguridad en la organización. Ejemplos como la participación de los directivos en las capacitaciones a los colaboradores, campañas internas para destacar la importancia del tema, exhibir indicadores claves relativos a la ciberseguridad en cada reunión de gestión y dar seguimiento a los casos de brechas reportados son algunas de las actividades que ayudan a instalar esta cultura.

Se encuentra en su trámite final la actualización a la ley 19.223 sobre Delitos Informáticos (vigente desde el año 1993) que aumenta las penas y define con mayor claridad los nuevos delitos asociados a la ciberseguridad. Se considera también actualizar la ley 20.393 sobre Responsabilidad Penal de las Empresas, para incorporar los delitos informáticos como parte de los delitos en los cuales los directores y ejecutivos principales de las empresas tienen responsabilidad penal en la medida que no puedan demostrar haber cumplido con el debido proceso. Por otro lado, se encuentra en trámite la actualización de la ley 19.628 sobre Protección de Datos Personales, la cual obligará a las organizaciones a cautelar con mayor celo y nuevas obligaciones los datos privados de sus clientes, proveedores y colaboradores.