Bajo el contexto de la nueva ley Marco de Ciberseguridad recientemente publicada, el Instituto de directores de Chile (IdDC) conversó con Daniel Álvarez, Coordinador Nacional de Ciberseguridad, para abordar los aspectos fundamentales de la nueva normativa y la importancia de que los directorios se involucren activamente en la gestión de riesgos cibernéticos, así como en la implementación de medidas de seguridad. También se destacó la necesidad de una colaboración público-privada para fortalecer la respuesta a este tipo de incidentes.
Para entender la ley a grandes rasgos:
La ley de ciberseguridad en Chile establece medidas para que las organizaciones públicas y privadas gestionen adecuadamente la ciberseguridad dentro de sus competencias. Para ello, crea la Agencia Nacional de Ciberseguridad, el CSIRT Nacional y otros organismos. Además, define un conjunto de obligaciones para las organizaciones consideradas servicios esenciales u operadores de importancia vital, cuyo mal funcionamiento podría afectar el país, sectores específicos o partes de la economía en caso de un ciberataque.
La ley fija estas obligaciones con el objetivo de prevenir incidentes y responder adecuadamente en caso de que ocurran. También otorga a la Agencia Nacional de Ciberseguridad la facultad de dictar normas, fiscalizar el cumplimiento de la ley y establecer un régimen sancionatorio a quienes no cumplan con las medidas establecidas.
¿Cómo pueden los directorios de las organizaciones asegurarse de que la ciberseguridad sea una prioridad estratégica en la toma de decisiones?
La ley establece un modelo de gestión de la ciberseguridad para la organización. Una organización cibersegura es aquella que adopta medidas técnicas, organizacionales, de recursos humanos, organizativas y financieras para incrementar su nivel de seguridad digital. Para avanzar en esta dirección y mejorar la madurez de la ciberseguridad, es fundamental involucrar a los niveles directivos en el proceso de identificación y mitigación de riesgos asociados al uso de la tecnología, así como en el desarrollo e implementación de planes de continuidad operacional, ciberseguridad y seguridad de la información.
La experiencia muestra que mientras mayor sea el compromiso de los directivos, mejor será la respuesta institucional frente a los ciberataques. Por lo tanto, el desafío que tiene la organización es ser capaz de involucrar a su plana directiva, ya sea en el nivel directivo, directorio o en el directivo ejecutivo, al proceso de adopción de las medidas que implicarían mejorar su nivel de ciberseguridad.
¿Cuáles consideras que son los principales riesgos y desafíos que enfrentan actualmente las organizaciones en materia de ciberseguridad?
Yo creo que el mayor riesgo que enfrentamos hoy día es que no conocemos nuestros riesgos de manera real. Somos uno de los países donde más ha penetrado la transformación digital y tenemos digitalizados procesos críticos, tanto en organizaciones públicas y privadas, pero no somos conscientes de los riesgos asociados a esos procesos de digitalización. Por lo tanto, considero que el principal desafío actual es que las organizaciones tengan la capacidad de verse a sí mismas y de identificar cuáles son los riesgos específicos en materia de ciberseguridad que enfrentan.
¿Y cómo se resuelve eso?
La ley entrega orientaciones bien claras respecto a qué es lo que se espera de una organización para que sea considerada cibersegura.
¿Y cuál crees tú que es el papel que debe jugar el directorio en la supervisión del cumplimiento de las políticas de seguridad dentro de las organizaciones?
La experiencia indica que mientras más nivel de compromiso e involucramiento, tanto en el diseño como en la ejecución y la implementación de los planes de riesgo o de las matrices de riesgo, del nivel directivo y del nivel directivo ejecutivo, mejor preparada está esa institución. Por ejemplo, cuando tenemos un ciberataque, usualmente la disponibilidad es el primer valor que perdemos, y podemos llegar a tardar semanas en recuperarla. El costo asociado a esto es muy alto. Por lo tanto, una organización cuyo nivel directivo esté al tanto de esto probablemente promoverá la adopción de mejores decisiones para reducir sus tiempos de respuesta y de continuidad. En una organización donde el directorio está involucrado, ese proceso usualmente es más fácil.
¿Qué recomendaciones darías tú a las organizaciones y a sus directorios para cumplir con los requisitos que establece esta ley?
Yo creo que la primera medida es que dentro del directorio debe existir un comité específico para temas de riesgo y deben trabajar bajo esa lógica. Y, existiendo ese comité de riesgo, el riesgo cibernético debería ser uno de los prioritarios, ya que hoy en día dependemos casi exclusivamente del uso de la tecnología.
En segundo lugar, los directores usualmente se involucran únicamente cuando hay que aprobar el plan de gestión de riesgos o los instrumentos de planificación, pero pocas veces se comprometen a realizar un control más exhaustivo durante su implementación. Uno esperaría de un directorio diligente, que está en la posición de proteger los activos de la organización y los intereses de los accionistas, se especialice y comprenda los riesgos tecnológicos asociados al negocio, de manera que su rol sea mucho más profesional en ese sentido. Y si no tienen las competencias o habilidades necesarias, que los órganos directivos consigan asesoría especializada.
¿Cuál es tu opinión acerca de la importancia de la colaboración público-privada que debe existir en el ámbito de ciberseguridad?
Es clave, y esto lo he dicho en todas las actividades públicas. Los países que avanzan de manera decidida en materia de ciberseguridad son aquellos donde la distinción entre lo público y lo privado desaparece. ¿Por qué? Porque cuando tenemos un incidente que afecta a una empresa privada que tiene como cliente un servicio público, ese servicio público en particular, proporcionado por el Estado, deja de funcionar. Y lo mismo sucede al revés: si el Estado deja de funcionar, los requerimientos de los ciudadanos, incluidas las empresas y las grandes organizaciones que necesitan información del Estado para poder operar, también dejan de funcionar. Esa interdependencia que tenemos, tecnológica, operacional y de procesos, es tan profunda que la distinción entre lo público y lo privado no tiene mucho sentido, Por lo tanto, en el camino de mejorar nuestros estándares, de tener mejores prácticas y de tener una mejor capacidad de respuesta, es un trabajo conjunto, no se puede avanzar solo por un lado descuidando el otro, sea cual sea ese lado, y requiere de esfuerzos de coordinación.
¿Cuál es el impacto de una brecha de seguridad cibernética en la reputación y la continuidad del negocio? ¿Y cómo pueden los directorios mitigar riesgos?
En general, los costos de los incidentes son más altos que los costos de prevenirlos porque en el fondo, en la urgencia tú no negocias. Además, hay impacto en la reputación de la organización cuando está vinculado a ciertos valores esenciales de la sociedad. Respecto al rol de los directores, estos deben estar involucrados con conocimientos especializados en el proceso, no solo en la aprobación de los instrumentos de planificación en ciberseguridad, sino también en la implementación y eventualmente en la evaluación. Con eso, podrían estar en una mejor posición para asesorar a la organización en la toma de decisiones respecto a cómo mitigar esos riesgos. En la mayoría de los casos, se trata de inversión, pero en otros casos, por ejemplo, temas de formación y capacitación continua, son cosas que no necesariamente requieren de grandes inversiones, pero que suelen tener un impacto importante.
¿Cuál es tu visión sobre el futuro en la ciberseguridad en Chile?
La buena noticia es que con la aprobación de la ley y con la instalación de la Agencia Nacional de Ciberseguridad, Chile probablemente va a quedar a la vanguardia en América Latina y el Caribe en la capacidad institucional de identificar y responder incidentes. Yo creo que eso es una ganancia que consolida algo que veníamos haciendo y que nos debiera significar salir de una posición de un país de nivel medio, movernos hacia un país con una posición más alta en los rankings.
Y segundo, te da una carta de navegación. Uno cuando mira los deberes específicos que establece la ley, nos da una carta de navegación súper clara sobre lo que hay que hacer. Por lo tanto, la ventaja que va a tener Chile en esto es que le va a permitir que todo nuestro sistema de empresas que prestan servicios esenciales y organismos públicos, incrementen de manera considerable su nivel de ciberseguridad, y eso es muy bueno para el país y para la estabilidad financiera.
¿Cuáles son las sanciones previstas en caso de incumplimiento de la ley por parte de las organizaciones y sus directorios?
La ley establece un amplio abanico de sanciones, que van desde las amonestaciones hasta eventualmente una multa bastante alta, pero estas no están pensadas para quien es víctima de un ciberataque si no que están pensadas en quienes son negligentes en adoptar las medidas para prevenirlas y no han implementado un plan de seguridad de la información siendo, por ejemplo, una entidad que maneja valores o información sensible. En este contexto, es importante destacar que quien sufre un ciberataque usualmente es considerado una víctima.