Revista Gerencia - Ediciones EMB - Nextwork360 Latam, destaca el análisis de Ricardo Seguel, Ph.D., profesor de la Facultad de Ingeniería y Ciencias UAI y director de DTC Cyber, sobre la ciberresiliencia.

La ciberseguridad en Chile ha entrado en una fase en que hoy se trata de una inversión gatillada por la obligación de cumplimiento y la potencial responsabilidad legal de la alta dirección. En consecuencia, un enfoque reactivo y basado en costo, es insostenible bajo el nuevo marco regulatorio; en cambio, un enfoque predictivo y adaptativo dirigirá los esfuerzos hacia la ciber resiliencia y el cumplimiento que las empresas e instituciones públicas requieren.

La brecha de la madurez y el fin de la inacción

El estado actual del ecosistema empresarial chileno en ciberseguridad presenta una profunda brecha en la madurez: si bien el sector financiero, retail, gran minería y las telcos operan con modelos de riesgo relativamente avanzados, el grueso de las empresas, incluyendo una gran parte de la infraestructura crítica de tecnología operacional (OT) y el sector público (como demuestran los recientes casos en el ISP y el Ministerio de Seguridad), se mantienen en una fase de “cumplimiento del checklist”. Si bien Chile ha subido en el ranking NCSI que nos posiciona como líderes regionales, el enfoque de marcar casillas en cuestionarios sin una comprensión real del riesgo estratégico, nos deja al menos cinco años detrás de países más avanzados en ciberseguridad como EE.UU., Europa y Australia.

El principal avance concreto no es tecnológico, sino de gobernanza dados por la Ley N° 21.663 (Ley Marco de Ciberseguridad) y la Ley N° 21.719 (Protección de Datos Personales). Al exigir el inventario y registro formal de los prestadores de servicios esenciales, las empresas se ven forzadas a inventariar y gobernar sus activos críticos. Esta acción no es un simple ejercicio administrativo, sino una medida que nos obliga a actuar, identificando las joyas de la corona para administrar el riesgo de exposición de la organización, fortalecer su sistema de ciberdefensa y madurar en su postura de ciberseguridad.

La presión regulatoria como acelerador de la ciberresiliencia

El marco legal chileno que combina la Ley Marco de Ciberseguridad con la Ley de Protección de Datos y la Ley de Delitos Informáticos (Ley N° 21.459), han creado una doble presión que elimina la pasividad de los directorios en estas materias. La ley ha logrado lo que los CISOs y gerentes de riesgo no pudieron por años: elevar la ciberseguridad desde un problema técnico a un riesgo estratégico de negocio, con consecuencias financieras y legales tangibles. Sin esto, la inversión en ciberseguridad seguiría siendo postergada ante ajustes presupuestarios.

La presión no es solo administrativa, sino también personal ya que la Ley de Responsabilidad Penal de las Personas Jurídicas (Ley N° 20.393) y las modificaciones de la Ley de Delitos Económicos (Ley N° 21.595) obligan a las empresas a tener Modelos de Prevención de Delitos (MPD) que incluyan el riesgo de “Delitos Informáticos”. Cuando un incidente crítico paraliza las operaciones o resulta en una brecha de datos, el directorio se expone a cuestionamientos sobre la suficiencia de su MPD y su debida diligencia en la gestión de riesgos tecnológicos, lo cual se podría convertir en una negligencia sancionable.

Brechas críticas y prácticas de vanguardia para los directorios

A pesar de toda la presión regulatoria, aún persisten en Chile (y Latinoamérica) brechas críticas en las organizaciones, tales como la miopía de tratar la ciberseguridad como un gasto y no una inversión, la falta de capacidades de respuesta ante incidentes y el déficit de talento técnico altamente especializado.

Para superar estas brechas críticas, las organizaciones deben adoptar prácticas probadas internacionalmente, tales como:

1) La arquitectura de Confianza Cero (Zero Trust) para fortalecer el control de acceso privilegiado en profundidad. Estados Unidos, por ejemplo, ha institucionalizado el concepto de “arquitectura de confianza cero” y el modelo de madurez (ZTMM), mediante órdenes ejecutivas y directrices de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).

2) La Seguridad de la Cadena de Suministro (Supply ChainSecurity) para mitigar las vulnerabilidades en cascada, auditando rigurosamente los controles de seguridad de proveedores críticos que tengan acceso a datos sensibles o a la red OT. La Unión Europea con la directiva NIS2 impone requisitos estrictos de gestión de riesgos en la cadena de suministro y establece plazos perentorios para la notificación de incidentes.

3) Los simulacros de incidentes sobre la infraestructura crítica incluyendo a la alta dirección y el comité de riesgos, con el objetivo de evaluar la toma de decisiones ante una crisis y la comunicación en un escenario de ransomware o fuga de datos. Australia se ha enfocado en la resiliencia operativa y la preparación ante incidentes sistémicos, ejemplificado por el marco APRA CPS 234, que obliga a las instituciones financieras a someter a pruebas rigurosas sus planes de respuesta a incidentes y a realizar ejercicios de simulación de crisis (war games).

4) Una infraestructura multi nube (multicloud) para mitigar el riesgo de interrupción de la continuidad operacional debido a la caída de un proveedor, como lo ocurrido recientemente con los servicios de Amazon AWS que afectaron la disponibilidad y el tráfico de internet a nivel mundial por casi 24 horas.

La Inteligencia Artificial (IA) como un arma de defensa

Si bien la IA es una herramienta poderosa para automatizar la detección de amenazas y mitigar el déficit de talento para responder ante incidentes, también debe aprovecharse para hacer frente a ataques que se basan en IA, como la generación de malware hiperautomatizado y el phishing e ingeniería social hiperrealista. La capacidad de los atacantes para usar la IA para analizar perfiles de víctimas (como directores y gerentes) y generar mensajes de compromiso hiper personalizados, hace que el factor humano siga siendo la causa más alta de brechas de seguridad con más del 70%. Para mitigar esta creciente amenaza, las organizaciones deben continuar fortaleciendo no solo sus sistemas de capacitación y sensibilización, sino también aumentar el monitoreo de toda la actividad de los usuarios internos y subcontratados de la organización, para alertar las anomalías.

Aumentando el nivel de ciberresiliencia de las organizaciones en Chile

La alta dirección en Chile debe pasar del cumplimiento reactivo a la adopción de la resiliencia operativa, tomando como ejemplo de madurez EE.UU., Europa y Australia. Además, deberá dejar de enfocarse únicamente en la prevención para pasar a un modelo predictivo y adaptativo aprovechando la IA como arma de defensa, ya que ninguna organización es inmune y los ataques no son una posibilidad remota, sino un evento de alta probabilidad y complejidad. En consecuencia, el riesgo de exposición de ciberseguridad es un detractor del negocio y la responsabilidad legal de gestionarlo recae de forma ineludible en los directores.

Puedes ver la entrevista a Ricardo Seguel en Revista Gerencia