Para casi nadie es desconocido que la ciberseguridad se ha convertido en uno de los temas más relevantes y contingentes, tanto a nivel nacional como internacional. Pero claro, esto no fue siempre así, recordemos que este tema resuena en Chile desde que, en mayo del año 2017, el ahora famoso malware WannaCry se ramificó por el mundo cifrando computadores a destajo, y en sólo minutos vulneró a grandes y reconocidas empresas. Luego apareció el Petya, NoPetya y de ahí esto no se detuvo más.

Desde ese entonces que el concepto ciberseguridad resuena en los medios como si de una moda se tratase. Desde ese preciso instante, la hemos estado mirando con otros ojos y asimilando las amenazas que veíamos en la prensa, tan lejanas, tan de película, tan ficticias, como un aspecto real a considerar en nuestra vida diaria, tanto laboral como personal.

Y esta importancia que hoy el país le brinda a la ciberseguridad se agradece. El Estado de Chile se ha involucrado en gran medida, y se ha preocupado de incorporar este tema en las agendas legislativas y a su vez, de reforzar las entidades de gobierno con restructuraciones, nuevos cargos, nuevas funciones en los ministerios, que a ojos del ciudadano hacen ver a un país que se toma en serio los riesgos asociados a las amenazas del ciberespacio.

Dado todo este contexto, las exigencias regulatorias han ido poniendo mayor énfasis en la aplicación de controles, tanto a nivel estatal como en empresas privadas. Esta última con mayor fuerza, debido a que cuenta con el privilegio de manejar presupuestos un poco más flexibles, han ido contratando especialistas en el área, para que estos apliquen los controles necesarios que exige el regulador, la normativa o los marcos internacionales.

Seguramente te estás preguntando: “¿dónde está el riesgo?”. Si incorporamos profesionales de ciberseguridad a nuestra compañía, si ahora tenemos los controles que exige el regulador, la normativa o los estándares, podríamos sentir que estamos alineados con lo que el país también tiene como preocupación.

Estoy totalmente de acuerdo y entiendo perfectamente que no se logre apreciar el riesgo en todo esto. Sin embargo, el riesgo es precisamente poner el foco únicamente en el cumplimiento, y basar nuestra estrategia según lo que la norma ISO 27001, ISO 27032, el NIST, el CIS u otros marcos que apoyan esta gestión, que son las que actualmente se están estipulando en las normativas chilenas.

¿Y por qué? Porque si utilizamos únicamente estas referencias, estas buenas prácticas, o este cumplimiento a la norma para proteger nuestra empresa ante las amenazas actuales, si nos conformarnos solamente con realizar un check list de lo que indica esta exigencia regulatoria, estamos en riesgo de perder el real foco, el cual es proteger nuestra empresa de los riesgos actuales y vigentes, es decir, de las amenazas del día a día.

Los ciberdelincuentes de la actualidad son muy distintos a los de los años 90, aquellos que “hackeaban” los sitios web para dejar cambiar las imágenes por carteles propagandísticos, o para presumir su hecho ante los amigos, ya casi ni existen. Hoy día nos estamos enfrentando a profesionales del delito, los cuales cuentan con el conocimiento, los recursos, las personas, y todo lo necesario para armar literalmente empresas del ciberdelito que estudian al objetivo el tiempo suficiente, e implementan ataques dirigidos con malware desarrollado exclusivamente para ese fin específico.

Dado todo este contexto, los responsables de Ciberseguridad de las compañías deben considerar un sin número de factores que no se encuentran dentro de la normativa o de la regulación para implementar su estrategia. Para ello, deben estar en constante formación, ya sea asistiendo a seminarios, estudiando certificaciones, realizando post grados, etc., también es muy importante mantener relación con el entorno de profesionales de ciberseguridad, incorporándose a grupos de interés donde se pueda dialogar respecto a las experiencias de otros profesionales y analizar qué controles se podrían implementar en nuestra estrategia bajo el contexto de amenaza actual, más allá del cumplimiento.

Sin comentarios Deja tu comentario