Cristian Ocaña Alvarado.
¿Cuáles serán las acciones concretas de esta alianza?
Lo principal y central, en esta primera etapa, será generar conciencia en las personas; conciencia de que la ciberseguridad es importante para el desarrollo de un país, su gobierno, su industria, su academia y sus personas. Es imperativo internalizar que todos tenemos una responsabilidad en un mundo digital. No es un tema que solo el gobierno o el sector privado deben resolver. Es de todos. Por ello, estamos haciendo el énfasis en los directorios de las empresas, los directores de servicios públicos, nuestros parlamentarios, rectores y decanos de instituciones de educación superior. En ellos existe una responsabilidad mayor, pues son quienes toman las grandes decisiones que influyen en el país y es a través de ellos que debemos iniciar esta labor de concientización en ciberseguridad.
Concretamente, esto lo realizaremos con una serie de encuentros orientados precisamente a dar ese mensaje, apoyado por referentes e influenciadores que son válidos para este segmento objetivo. Además, estamos integrando a más instituciones que quieran participar y contribuir en esta labor, pues existen muchos frentes más, como el marco legal, la educación, las prácticas y estándares.
¿Cuál es el principal reto hoy en ciberseguridad en Chile: normativa, capacitación, tecnología?
En realidad en Chile debemos ponernos “colorados” de una vez y reconocer que la ciberseguridad solo ha sido un tema cuando algún evento se torna trascendental y público. Antes de eso, o entremedio, todo lo relacionado con la ciberseguridad vuelve a un estado gestacional. Vemos poca preocupación; ahora es mayor por los sucesos noticiosos que nos han mantenido alerta en los medios.
Nuestro consejero y experto en ciberseguridad, Miguel Pérez de ACTI, nos presentó una Curva de Madurez de la Seguridad, donde existen 7 niveles que parten desde el más básico (Dispositivos) y van escalando hasta llegar al nivel más maduro, Defensa. Frente a un ataque de ciberseguridad, lo importante es poder detectar y actuar rápida y coordinadamente. Cuando una nación se concentra en el nivel 1, de los Dispositivos, el tiempo para responder basado en esos elementos es lento. Y, obviamente, el tiempo para detectar un ataque. Es muy probable que en muchos casos no se den ni cuenta que sufrieron un ataque. Esta es la situación de una organización que basa la seguridad exclusivamente en Dispositivos como un firewall, sistemas de detección de intrusión o sistemas de detección de prevención, entre otros. Son máquinas que actúan lógicamente y de una forma predeterminada. Ayudan y de eso no hay duda, pero no basta; no es suficiente dejar una máquina a cargo de vigilar los cajeros automáticos o el funcionamiento de una red de comunicaciones.
Chile está muy concentrado en el nivel 1. Lamentablemente se cree que poner máquinas resuelve todo, y esa ignorancia ha sido responsable de gran parte de los sucesos que hemos conocido, como también de una porción superior de lo que no llegamos a conocer.
Por lo tanto, primero, aquí hay un punto central y basal en la educación a los altos ejecutivos de la industria, el gobierno y la academia. En segundo lugar, es preciso contar con un marco legal que acompañe este quehacer, que genere obligaciones y responsabilidades. El hacerse cargo en forma no obligatoria de la ciberseguridad ha traído muchas consecuencias y ha generado un retraso importante en el cumplimiento de los compromisos de Chile en la OCDE. Estamos al debe en materia de seguridad y, los informes al respecto, adolecen de la información, porque la realidad es que no nos gusta generarla pues no tenemos la práctica sana de que eso le hace bien a una economía.
¿Qué tan preparados estamos a nivel de los profesionales especializados en el área?
Hay un puñado de profesionales de primer nivel que todo el mundo se disputa. El problema principal es que, como no hay demanda de estos profesionales, porque la conciencia en ciberseguridad es muy baja, las casas de estudio no se han visto en la necesidad de cubrir esa necesidad. Creo que esta ecuación está errónea y es preciso cambiar algunas variables como la demanda, para poder traccionar la generación de más especialistas. Nuestra industria en ciberseguridad es ínfima, por la misma razón. Las instituciones tienen la creencia de que con instalar dispositivos basta y, por lo tanto, la industria no surge.
Ahora, creemos que con nuestra participación motivaremos que se mueva la conciencia y que ella movilice la demanda y que esta provea más profesionales. Pero esto no es fácil ni rápido: la preparación en nuestro capital humano no es de un día para otro como podría alguien erróneamente creer. Según nuestro consejero, académico, doctor, magíster, ingeniero y especialista en ciberseguridad, Alejandro Hevia, el proceso de formación de un experto puede llegar a tardar entre 9 y 10 años. Entonces, este debiese ser gradual e incremental. No porque se decide un día tener expertos en ciberseguridad, significa que al otro día estarán disponibles: tenemos un largo camino.
Por ello, es imperativo trabajar en equipo frente a la ciberseguridad y no como el “Llanero Solitario” como acostumbra gran parte de la industria, gobierno y academia. Es preciso generar instancias que se coordinen por temática y que reporten a un nivel superior, de manera que alguien cuente con la mirada global para “darse cuenta” de que algo más puede estar pasando si suma y cruza distintos sucesos aislados ¿o no?
¿Qué tecnologías se vislumbran con nuevos retos en materia de ciberseguridad?
Los principales retos están en las tecnologías personales, lo que porta cada persona y que muchas organizaciones, “sin la conciencia” y conocimiento suficiente, permiten que se integre a sus redes de información. También todo lo que es Internet de las Cosas puede ser un potencial punto de vulnerabilidad. Pero insisto, si estamos trabajando coordinadamente, somos capaces de comunicarnos a tiempo y no escondemos la “cabeza bajo la tierra”, y dejamos el paradigma del “Llanero Solitario”, podemos reaccionar a tiempo y contener en forma más rápida sucesos y eventos que podrían llegar a ser muy lamentables.
¿Afecta de alguna forma a las empresas en Chile la aplicación del GDPR?
A aquellas empresas europeas que tienen filiales en países como Chile, como también las empresas chilenas que tienen filiales en Europa, se les aplica la regulación GDPR (General Data Protection Regulation). Ellas deben atenerse a lo que les exige la regulación respecto del manejo de datos de clientes, como las medidas a implementar. Esto se viene en serio y es una buena instancia para seguir estas buenas prácticas, tanto en lo legislativo como en lo relacionado al servicio y los procesos de negocio.
Chile debe continuar avanzando en mejorar sus indicadores de ciberseguridad, ¿en qué sentido?
Tenemos una brecha bastante relevante en muchos frentes. Chile no destaca por su posición frente a la ciberseguridad y ello implica todas las dimensiones: legal, técnica, organizacional, creación de capacidades y cooperación.
La Política Nacional de Ciberseguridad es una hoja de ruta. Está escrita. Se lanzó. Dibuja un camino a seguir. Sigámoslo. Hay muchas propuestas. Nosotros como Alianza Chilena de Ciberseguridad tomamos una de ellas y la implementamos; un grupo de 9 instituciones con sus representantes se lo tomó en serio y se comprometió a liderar este tema en Chile. Estamos seguros de que lo haremos y ya hemos producido un movimiento más allá de lo esperado. Ya tenemos una red que fluye con senadores de la república, autoridades gubernamentales, organizaciones sin fines de lucro, industria tecnológica, academia e industria financiera. Y no nos detendremos. Queremos que Chile surja y avance mucho más. Ese es nuestro compromiso.
Miembros de la Alianza Chilena de Ciberseguridad:
Asociación de Aseguradores de Chile; Asociación Chilena de Empresas de Tecnología de Información; Cámara Chilena Norteamericana de Comercio; Cámara de Comercio de Santiago; Colegio de Ingenieros de Chile; Facultad de Ciencias Físicas y Matemáticas de la Universidad de Chile; Fundación País Digital; Instituto Chileno de Derecho y Tecnologías; y Universidad Tecnológica de Chile Inacap.
