Por: Andrés Pumarino
En los últimos años estamos viendo cómo los niveles de conectividad están superando todas las proyecciones, el uso de dispositivos móviles y la penetración de servicios por internet crece de manera relevante, estamos viviendo la llegada de la tercera ola de virtualización que dice relación que para el año 2020 los niveles de conectividad global llegarán a gran parte de la población mundial (sobre 5.000 millones de personas) generando una transformación tanto en empresas, profesionales, emprendedores y empleados, esto será un cambio brutal que vaticina la llegada de lo que algunos especialistas llaman la Cuarta Revolución Industrial.
Este escenario de cambio también está impactando en Chile, hoy existen diversas acciones a nivel de políticas públicas y de la discusión de nuevos marcos regulatorios que se están generando a nivel de discusión parlamentaria.
Tenemos por una parte el proyecto de ley de Protección de datos que se discute hoy en la Comisión de Constitución del Senado que avanza con el estudio del proyecto de ley, que se encuentra en primer trámite constitucional, y que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales (Boletines Nos. 11.144-07 y 11.092-97, refundidos). Hoy los datos son el petróleo del siglo XXI, ellos generan fuente de información valiosa para las organizaciones, pero también revelan información que afecta a la privacidad de las personas, el reconocimiento de los derechos de las personas es básico para el entorno en que estamos viviendo y la consagración legal de los derechos ARCO (Acceso, rectificación, cancelación y oposición) deben ser reconocidos y respetados por empresas y el Estado, pero también es necesario rescatar la necesidad de contar con una agencia de protección de datos independiente y especializada.
Por otra parte el Gobierno de Chile depositó el viernes 21 de abril del 2017 en Estrasburgo, Francia, el instrumento de adhesión al Convenio sobre la Ciberdelincuencia del Consejo de Europa, conocido también como el Convenio de Budapest. Este Convenio constituye el primer tratado internacional sobre delitos cometidos a través de Internet y otras redes informáticas, que trata en particular de fraude informático, pornografía infantil, delitos de odio y violaciones de seguridad de red. También contiene una serie de competencias y procedimientos, tales como la búsqueda de las redes informáticas y la interceptación legal, todo ello con el fin de mejorar la investigación en este tipo de delitos. La adhesión a este instrumento internacional constituye uno de los compromisos del Gobierno de Chile y es una de las medidas comprometidas en la Política Nacional de Ciberseguridad. Permitirá al país ser parte de un sistema rápido y eficaz de cooperación internacional, además de recibir asistencia para el desarrollo de capacidades nacionales para enfrentar de mejor manera las amenazas en el ciberespacio que obligarán a nuestro país a tomar acciones administrativas pero también legislativas.
Nuestro país se ha fijado una ruta de la Política Nacional de Ciberseguridad allí se han fijado los pasos a seguir, pues Chile debe ponerse al día en materia de seguridad, porque cualquier error o ataque exitoso puede vulnerar el bienestar y los derechos de chilenas y chilenos, afectar intereses particulares y comunes, afectar servicios críticos para el funcionamiento del país. Tal como lo plantea el mensaje del documento de la «Política Nacional de Ciberseguridad debe plantearse metas concretas con el objetivo de promover un ciberespacio libre, abierto, seguro y resiliente. Un espacio de seguridades que permita a las chilenas y chilenos alcanzar el mayor desarrollo posible. En línea con la Agenda Digital y la Agenda de Productividad, Innovación y Crecimiento, permitirá reducir las brechas de acceso y la conciencia sobre el uso seguro de las TIC y aprovechar las enormes ventajas que tiene nuestro país debido a su posición de liderazgo en el ámbito tecnológico en la región.»
Por otra parte, la Carta Circular a los Bancos N°1 de las Sociedades de Apoyo al Giro N° 1
emitida el 7 de junio de 2016 por la Superintendencia de Bancos e Instituciones Financiera (SBIF) nos exige que la instituciones tomen las medidas y controles correspondientes en seguridad de la información y ciberseguridad. Exige que las instituciones lleven a cabo una evaluación permanente considerando, como mínimo, el cumplimiento de los siguientes requisitos:
a) Que el Directorio y la Alta Gerencia se informen respecto de los riesgos asociados a la ciberseguridad y resuelvan respecto de las medidas de mitigación pertinentes.
b) Que las empresas realicen una evaluación periódica de sus controles, considerando aspectos de identificación de los riesgos vinculados al uso de tecnologías de información, así como la suficiencia y efectividad de las medidas de protección y detección, y su capacidad de respuesta y recuperación ante la materialización de este tipo de amenazas.
Recientemente hemos visto que la Superintendencia de Bancos e Instituciones Financieras publicó en enero de 2018 un conjunto de normas en que aquellos activos de información lógicos que son considerados críticos para el funcionamiento del negocio y del sistema financiero en su conjunto, así como la infraestructura física, hardware y sistemas tecnológicos que almacenan, administran y soportan estos activos y que, de no operar adecuadamente, exponen a la entidad a riesgos de integridad, disponibilidad y confidencialidad de la información. La gestión de la infraestructura crítica de Ciberseguridad es fundamental para el adecuado funcionamiento del sistema financiero, en el caso de eventuales ataques.
Las entidades bancarias deberán contar con una base de incidentes de Ciberseguridad, que tiene como objetivo establecer un lenguaje y nivel de información mínimo y homogéneo en la industria, como también permitir la gestión integral de los incidentes generados al interior de las entidades fiscalizadas.
Entre las normas encontramos las siguientes; Circular N° 3.633 Bancos, Recopilación Actualizada de Normas. Capítulos 1-13 y 20-8. Lineamientos y buenas prácticas para la gestión de la Ciberseguridad y la Carta Circular N° 1-2018 Bancos, Ciberseguridad. Incorpora la materia dentro de los Lineamientos de Educación Financiera.
En conclusión los riesgos en materia de ciberseguridad siguen presentes y las empresas del sector financiero deben asumir que éste tema está presente y expone a sus organizaciones, no pueden bajar la guardia ante los desafíos que impone el gestionar la información de sus instituciones. Pero también, el desafío lo tiene el equipo directivo, donde debe asumir su responsabilidad en esta materia y capacitarse para entender a qué riesgos está expuesta la organización.