Buenas prácticas corporativas de Ciberseguridad en la actualidad

17 junio 2024

Por Alicia Balbontín Álvarez, CISO y CIO, directora REDMAD y socia de la mesa de Tecnología y Transformación Digital.

Actualmente, la ciberseguridad se ha convertido en un tema relevante en la vida cotidiana, ya que interactuamos con la tecnología a diario en diferentes ámbitos: nuestros hogares, empresas, educación, transacciones comerciales, financieras, entre otros. También, la tecnología nos ha permitido acceder a una gran cantidad de información, llamada “oro del siglo XXI”, la cual ha adquirido un valor incalculable para las organizaciones. Por lo tanto, es fundamental garantizar que la información sea robusta, confiable, íntegra, trazable y disponible cuando sea necesaria para la toma de decisiones.

Lograr proteger la información de los diversos riesgos a los que puede estar expuesta implica llevar a cabo una serie de acciones en un plan de trabajo estratégico, comenzando por identificar los riesgos, sus orígenes y naturaleza.

Es crucial que cada organización que administre datos propios o de clientes cuente con un área dedicada a proteger los activos de información. Sin embargo, muchas organizaciones aún no tienen un área de Seguridad de la Información y Ciberseguridad. Por lo tanto, es vital que cada organización establezca un área responsable de definir políticas y procedimientos para proteger estos activos y monitorear su implementación y cumplimiento.

Algunas organizaciones no saben por dónde comenzar, pero si queremos hacerlo es importante definir un CISO (Chief Information Security Officer o director de Seguridad de la Información) que lidere esta implementación reportando al gerente general o al directorio; además de un CDO (Chief Data Officer o director de Datos de una empresa).

En cuanto a este último cargo, con la nueva ley de protección de datos será relevante contar con este responsable de resguardar los datos. Adicionalmente, también se debe considerar a los ya existentes auditor interno y oficial de cumplimiento.

Realizar un levantamiento de los procesos y activos de información relevantes es crucial ya que, sin un detalle claro de los procesos, no se puede realizar una adecuada evaluación de riesgos. Muchas organizaciones desconocen los perfiles necesarios para esta área, sin embargo, para eso existen marcos de referencia como SFIA y NICE que ayudan a entender las habilidades requeridas en perfiles de Seguridad de la Información y Ciberseguridad.

En base a la experiencia, un líder en Seguridad de la Información debe tener capacidad de análisis y escucha para entender los procesos del negocio y las vulnerabilidades que podrían activar las amenazas que afectan los activos de información.

Una vez en la organización, debe ser capaz de conocer el entorno político, económico, legal, ecológico y tecnológico, así como las fortalezas y debilidades de la compañía. También debe tener experiencia en establecer un plan de implementación con roles y responsabilidades claramente definidos y en liderar comités de Seguridad de la Información con equipos multidisciplinarios.

El conocimiento en ciberseguridad y certificaciones en normas pertinentes son requisitos. Importante también es trabajar con las áreas del negocio y de apoyo, para establecer los lineamientos en seguridad en los roles y cargos necesarios para resguardar la información en términos de disponibilidad, integridad y confiabilidad, y no esperar a ser víctimas de un hackeo que podría costar millones.

Algunos datos a considerar: Chile recibió 6.000 millones de intentos de ciberataques en 2023, según datos de FortiGuard Labs, laboratorio de análisis e inteligencia de amenazas de Fortinet. Además, la firma de consultoría Gartner ha estimado que, para el 2025, el 45% de las organizaciones de todo el mundo habrá sufrido ataques en el software de sus cadenas de suministro.

Dado la cantidad de ataques cibernéticos que crecen exponencialmente con el tiempo y con la inteligencia artificial, el estar preparados para protegernos resulta cada día más costoso. El mundo, y específicamente Chile, está trabajando en nuevas leyes y normas para que las organizaciones aceleren este proceso. Se espera que aquellas que aún no lo han realizado lo hagan lo antes posible, para así poder enfrentar los nuevos tiempos donde la protección y capacitación son vitales.