¿Cuál debe ser el rol de los directivos frente a la ciberseguridad?
Es muy común en países como Chile, que las áreas de tecnología sean las que intentan, en forma permanente, obtener recursos para cubrir sus temáticas de seguridad. Sin embargo, siempre las miradas técnicas con frecuencia son sesgadas y circunscritas a un ámbito exclusivo, quedando fuera un millar de otras zonas potenciales. Y eso quedaría cubierto si el área de TI recibiera el presupuesto requerido sin los “recortes” para “cuidar” la rentabilidad del negocio. Es aquí donde entran los directores y gerentes generales. Ellos entienden y saben perfectamente que un incidente, como un paro o un corte eléctrico, puede llegar a detener su negocio y generar pérdidas de dinero. Lo que muchos de ellos no saben, internalizan o hacen consciente aún es que un incidente de ciberseguridad también puede producir una detención del negocio y, por tanto, además, perder mucho dinero debido a ello.
¿Cuál es el escenario que se observa en Chile en este sentido?
Chile está clasificado a nivel mundial como un país tecnológico y ello implica y exige que debe prestar mayor atención a hechos como la ciberseguridad. Hoy se ve un Chile más débil que bien preparado. Es por eso que nace la Política Nacional de Ciberseguridad y varias acciones que la acompañan en su implementación.
Hoy pasan cosas. Muchas no se saben porque no se cuentan o da vergüenza contarlas. El daño que ese silencio genera puede llegar a ser tan profundo como el hecho mismo ¿Por qué? Si yo veo que mi casa se está quemando y no le aviso a nadie, hay una alta probabilidad de que se quemen las más cercanas y así sucesivamente. Lo mismo pasa con un incidente de ciberseguridad.
Cuando seamos capaces de mirar más allá del individualismo y de la extrema competencia, podremos entender que el compartir y organizarnos da mejores dividendos que andar solo.
¿Diría que existe una conciencia establecida de la realidad de los ciberataques?
En mi apreciación, la conciencia hoy es baja. Creo sinceramente que existe mucho desconocimiento y se tiende a confundir que este tipo de situaciones corresponde a los “informáticos”, como se dice en una forma casi despectiva, no por el área de TI, sino que intentando bajarle la gravedad a la ignorancia del problema mismo.
El equipo de TI, cuando exista una mayor conciencia de los “stackeholders” de una organización, debiera verse más fortalecido respecto a cómo está preparado hoy. Hay situaciones muy ajenas a todos estos equipos y que requieren de articulaciones mayores, incluso internacionales, para prepararse cada vez mejor en la era digital.
¿Qué alcances tiene la Política Nacional de Ciberseguridad?
Esta política tiene el propósito de mostrar un camino. No es una ley ni un mandato. Pone de manifiesto la importancia de articulación entre diversos sectores, esfuerzos y énfasis. Tiene el mérito de ser transversal y tocar a organizaciones de todos los tipos, personas, el quehacer nacional, la productividad y la vida misma. Es un llamado a “ocuparnos” para salir del “preocuparnos”. Ahora viene un cambio de gobierno. Como Colegio de Ingenieros de Chile hacemos un llamado a dejar al lado los colores políticos y poner por delante los temas importantes. Y la ciberseguridad es un tema importante. Y por ello es que estamos apoyando, dirigiendo nuestras energías a difundir, coordinar y concientizar en estas materias.
¿Qué impacto genera en las empresas la nueva política?
La Política Nacional de Ciberseguridad es un llamado a la conciencia y propone un camino. Dependerá de cómo seamos capaces de organizarnos el resultado que se logre. Por ese motivo, es que en el marco del Consejo de la Sociedad Civil de Economía Digital de la Subsecretaría de Economía del Ministerio de Economía, Fomento y Turismo, se creó un Comité de Ciberseguridad, que coordina precisamente el Colegio de Ingenieros de Chile, con el propósito de avanzar en estas materias. Y una de las acciones 2017-2018 es el proceso de instalación en los líderes de la industria de una mayor conciencia respecto de la ciberseguridad.
¿Se definen penas o multas en caso de ataques o robo de información?
El marco jurídico en Chile para estas materias no va a la par con lo que ocurre en el mundo. Y ello es un llamado de atención para los legisladores y su eficacia legislativa. Nuestras leyes asociadas a estas materias están bastante retrasadas y recién se están viendo en el Parlamento, como la modificación de la Ley de Datos Personales, que es de 1999 y tiene muchas imperfecciones, una de las cuales es que no existen sanciones. También está la futura Ley de Ciberseguridad que recién comienza su “conversación” en medio de este proceso eleccionario donde cambia el gobierno de turno y muchos senadores y diputados.
¿Qué pasaría en la continuidad del negocio si las empresas se vieran obligadas a reportar incidentes?
En términos simples, hoy la Superintendencia de Bancos e Instituciones Financieras en su Norma SBIF Capítulo 20-8, Comunicación Inmediata de Incidentes Operacionales Relevantes, se ampara en la Ley 20.285, artículo 21 N°5, para no compartir con ningún organismo tal información, por tratarse de datos o informaciones calificados como “reservados o secretos”.
Es por esta misma razón que no se puede avanzar con celeridad en estas materias, puesto que esta información ni siquiera es conocida por el mismo Ministerio del Interior, según conversaciones de coordinación sostenidas con el Colegio de Ingenieros.
A diferencia de Chile, en Estados Unidos cualquier empresa que tenga un incidente de robo de información o ataque informático tiene la obligación de reportar inmediatamente su situación y de hacerla conocida para que se pueda reaccionar a tiempo, con medidas y acciones certeras. Eso en Chile no ocurre y no me queda claro que este sea un tema que esté por resolverse en los próximos meses o, incluso, años.
¿Hacia dónde debemos apuntar? ¿Cuáles son los retos por delante?
El principal reto que tenemos como país es aprender a ser más sinceros y honestos ante este tipo de incidentes. Nadie está exento en la vida de tener problemas. Es más, muchas empresas ven estas situaciones como oportunidades nuevas de negocio. Y por eso mismo, una de las líneas de la Política Nacional de Ciberseguridad es el desarrollo de la industria de ciberseguridad en Chile. Ello abre muchísimas posibilidades.
Además, está la dimensión de los retos legislativos. En la medida que nuestros legisladores no internalicen este factor sobre la incidencia que puede tener en la productividad, la competitividad o la vida de las personas, va a ser complejo contar con las regulaciones con la oportunidad que el país las requiere. Y un desafío similar tienen nuestros empresarios, gerentes y directores de empresas para comprender los impactos que este tipo de incidentes puede llegar a producir en sus propias organizaciones, metas, objetivos, y rentabilidades.
