“Según datos del Banco Interamericano de Desarrollo (BID), solo siete de los 32 países latinoamericanos tienen planes para proteger su infraestructura crítica de ataques cibernéticos. Un dato preocupante al tomar en cuenta que, según la misma institución, el costo anual de los ciberataques en América Latina y el Caribe puede superar los 90 millones de dólares en 2025, con más de 18,5 millones de ataques registrados al año”, indica en una reciente columna José Antonio Lagos, Managing Partner de Cybertrust Latam y Director académico UEjecutivos, Facultad de Economía y Negocios Universidad de Chile.
En este escenario, el ejecutivo destaca que “la reciente promulgación en nuestro país de la nueva Ley Marco de Ciberseguridad es una gran noticia. La normativa establece aspectos de gobernabilidad en este aspecto, a través de la creación de la Agencia Nacional de Ciberseguridad (ANCI), la cual regulará, fiscalizará y sancionará a las empresas públicas y privadas que presten servicios esenciales o que sean clasificadas como ‘operadores de importancia vital’”.
Sobre la infraestructura crítica, Lagos explica que la ley “establece como empresas de servicios esenciales a aquellas organizaciones que proveen servicios provistos por los órganos de la administración del Estado y por la empresa privada, como la generación, transmisión o distribución de energía, telecomunicaciones, infraestructura digital, banca, servicios financieros y clínicas entre otros. La ANCI también deberá clasificar aquellas empresas de servicios esenciales y las que tienen una importancia vital”.
“Para dar cumplimiento a la normativa, distingue entre deberes y obligaciones de carácter general. En relación con los deberes, tanto las empresas de servicios esenciales como de operación vital, tendrán que reportar cualquier incidente de ciberseguridad dentro de un plazo de tres horas, además de estar continuamente aplicando medidas para prevenir, reportar y resolver incidentes de ciberseguridad”. En tanto, las empresas definidas como infraestructura crítica “deberán implementar un sistema de gestión de seguridad de información, mantener planes de continuidad operacional y de ciberseguridad, someterse a revisiones periódicas y realizar ejercicios de simulación, entre otros deberes”, añade el experto.
Según José Antonio Lagos, la mentalidad empresarial “debe ir hoy más allá del cumplimiento de la regulación. Es clave un cambio cultural. Muchas veces la ciberseguridad es mirada como un tema técnico y tecnológico y no como un habilitador de ventaja competitiva. Cambiar el foco permitiría asegurar el cumplimiento de los objetivos de negocio, gestionar de manera adecuada los riesgos, proteger los datos de los clientes y la reputación de la empresa”.
Para el ejecutivo hoy la estrategia del negocio con la de ciberseguridad deben estar alineadas. “Cada objetivo de negocio debe tener una respuesta adecuada de ciberseguridad. En un entorno digitalmente intenso, muchas veces los objetivos de negocio no son alcanzados, debido a riesgos de ciberseguridad que lo impiden, por lo cual la estrategia no solo debe crear valor, sino que debe proteger el valor generado”.
“Finalmente, es necesario avanzar en la implementación de modelos predictivos, a través de la inteligencia artificial y el machine learning. De esta manera, las empresas serán capaces de anticipar la materialización de riesgos, no solo para la detección, sino que para impulsar la predicción y una respuesta más efectiva. No avanzar tiene un potencial costo de 90 millones de dólares. Convirtamos esta nueva ley en una oportunidad”, concluye José Antonio Lagos.
