Puedes acceder a esta publicación de ZonaCISO aquí
César Pallavicini, Presidente Comunidad Riesgo Operacional y CEO de Pallavicini Consultores explica la importancia de que las empresas, no solo de tecnología, se certifiquen en los modelos de seguridad de la información, como la ISO 27001.
Decir que Chile es un país que ha logrado un buen avance en ciberseguridad no es una falacia, pero si establecemos que la ciberseguridad es solo un subconjunto dentro de lo que engloba todo lo relacionado a la seguridad de la información, es posible afirmar que el estado de madurez de Chile en esta última materia es bajo. Las cifras así lo demuestran, de hecho, existen alrededor de 140 empresas certificadas en un SGSI ISO 27001, esta
cantidad es mínima comparada con las más de 500 mil empresas de un tamaño relevante
Un sector de avanzada en materias de seguridad de la información es el financiero, regulado por la Comisión para el Mercado Financiero, CMF, que desde hace años aplica la normativa Basilea II de Gestión de Riesgo Operacional, que ha obligado a los bancos a desarrollar la gestión de seguridad de la información, incluyendo la ciberseguridad, y a hacer extensivo el cumplimiento de los 3 pilares de riesgo operacional a sus proveedores críticos. En concreto, cuando una empresa de servicios, en su mayoría TIC, se presenta a una licitación y bien presenta una propuesta al sector financiero o de seguros, debe presentar evidencia de:
Contar con un modelo de seguridad de la información, basado en la norma ISO 27002,
Contar, idealmente, con un sistema de gestión de seguridad de la información SGSI 27001,
Contar, en algunos proyectos para grandes empresas, con un Plan de Continuidad de Negocio, basado en la norma ISO 22301.
Continuidad operacional v/s seguridad de la información Otro aspecto que considerar es que la pandemia, que llevó a la mayoría de las empresas a recurrir al teletrabajo de forma apresurada, sin procedimientos y sin herramientas tecnológicas probadas, teniendo como objetivo prioritario la continuidad de la operación. Al generarse grandes vulnerabilidades en el trabajo/casa, los ciberatacantes apuntaron justamente ahí, y las estadísticas a la fecha muestran un aumento del 540% en ciberataques en Chile, cifra superior al incremento del 350% registrado para América Latina. La gran lección es que no se puede poner en riesgo la seguridad de la información de la empresa por dar continuidad operativa al negocio. Estos dos pilares y sus estrategias deben estar en equilibrio y, por ello, todas las empresas deberían considerar la mitigación de sus riesgos. Sin embargo, para las empresas de servicios, especialmente aquellas que trabajan con organizaciones en industrias reguladas, como la financiera, velar por la gestión de la seguridad de la información no solo es estratégico para el desarrollo de su negocio, sino que también para mantener su relación contractual con clientes y poder conectar con nuevos clientes que exigen el cumplimiento de riesgo operacional.
Seguridad de la Información para todas las empresas
Las leyes relacionadas a la gestión de riesgos operacionales llevan, lamentablemente, algunos años durmiendo en el Congreso, lo que nos lleva a cuestionar si existe conciencia y voluntad de avanzar por parte del Estado chileno en estas materias. Si bien existen senadores que dedican tiempo y esfuerzo a su concreción, desde afuera no se entiende la lentitud en su aprobación y entrada en vigor. En particular, me refiero a las leyes de Protección de Datos Personales, de Delitos Informáticos, de Ciberseguridad y a la ley de Infraestructuras Críticas, por mencionar las más relevantes del último tiempo.
Está claro, con todo lo dicho, que la gobernanza de este tema es fundamental y prioritaria, idealmente los presupuestos de inversión deben ser asignados y seguidos en forma separada de las inversiones en tecnologías. Así, los directivos asimilarán que es su responsabilidad asegurar la inversión de los accionistas frente a todo tipo de eventos. Por todo lo mencionado, para las empresas de servicios es vital iniciar un camino hacia la certificación de un SGSI 27001, que les permita un nivel de madurez en seguridad de la información, para así enfrentar de mejor forma el desarrollo del negocio en esta economía digital.
Comments