La ciberseguridad ha tomado un rol importante en la agenda del gobierno que ya está trabajando en comprender que la magnitud del problema va más allá de lo sucedido en estas semanas. Con una ley de seguridad de la información de 1993 y que, recién el año pasado, se pensó en nivelar con el acuerdo de Budapest, nuestro estándar actual en ciberseguridad es bastante pobre en comparación con los países de la OCDE,  líderes en este tema.

El caso que afectó al Banco de Chile y el de Telefónica el año pasado, han demostrado que la seguridad de los sistemas y datos no está delimitada a ningún rubro. Todas las empresas son vulnerables a amenazas de seguridad, sin embargo el marco legal vigente no va avanzando al ritmo de la tecnología y la complejidad de los ataques en que intervienen esquemas de fraude. Estos buscan robar grandes montos de dinero, causar un daño a los sistemas y datos, o incluso secuestrarlos en un esquema ransomware para liberarlos si se paga una fianza como lo que pasó con Telefónica en 2017. Otros, en cambio, buscan derribar los sistemas de instalaciones de suministro de energía, agua, tráfico aéreo y vehicular, seguridad ciudadana, entre otros, para causar un sabotaje con un alcance regional, nacional e incluso internacional.  No podemos esperar que suceda este tipo de sabotajes a los sistemas públicos y privados, y tampoco que la información privada de las personas sea vulnerada.

Sobre el tema, hay dos informes de la OCDE que establecen ciertos parámetros que deberían considerarse en Chile al momento de tomar acciones. Un reporte de dicha organización, correspondiente a 2012, establece que la ciberseguridad debe ser una política de prioridad nacional e incluso considerarse como un tema de soberanía. Asimismo, recomienda que la coordinación entre las empresas e instituciones gubernamentales esté más cohesionada con las acciones de la policía y la Interpol. Todo ello en función de contar con un sistema de alertas que coordine las acciones de defensa y prevención ante amenazas tanto, desde el extranjero, como locales.  Aún cuando las empresas e instituciones gubernamentales invierten cada año miles de dólares para mantener su perímetro seguro de los ataques externos, la mayoría de los ataques vienen desde el interior de una organización.

Por esto en 2015 la OCDE recomendó a los países que consideren el riesgo digital inherente a la ciberseguridad como un riesgo económico. Este riesgo, por lo tanto, debe ser gestionado y minimizado a niveles aceptables relativos a los beneficios económicos esperados. Las empresas e instituciones deben prepararse para los ataques desde el interior fortaleciendo sus controles de contratación de personas y sus planes de capacitación y sensibilización en seguridad, así como los planes de auditoría y cumplimiento de riesgo y control.

En Chile hemos aprendido a sobreponernos a catástrofes naturales, es hora de que también aprendamos a prevenir y a responder a catástrofes informáticas.  Estamos en un escenario propicio para que nuestro país marque la diferencia en la región y fortalezca su institucionalidad para la ciberseguridad. Aún queda mucho por hacer y si no es ahora, podría ser demasiado tarde.

Publicado en La Tercera