Pasar al contenido principal

ES / EN

Empresa y ciberseguridad en la agenda de los directorios
Lun, 24/07/2017 - 10:24

Andrés Pumarino M.

La posición de Chile en el Informe del World Economic Forum
Andrés Pumarino M.

Andrés Pumarino es abogado de la Universidad Adolfo Ibañez (Chile), con postítulo en Derecho Informático en la Facultad de Derecho de la Universidad de Chile. También posee un postítulo en Gestión de Negocios en la Universidad Adolfo Ibañez. Es socio en Legal Trust.

El reciente incidente del 12 de mayo pasado será una fecha para recordar, dado el nivel de impacto del ataque del Ransomware WannaCrypt 2.0, que se propagó como un gusano aprovechando las vulnerabilidades de los sistemas que no fueron parchados oportunamente. Sin embargo, esta situación expuso a las empresas a ser afectadas y quedar expuestas a que sus sistemas fueran secuestrados por este virus informático que se propagó a nivel mundial.

Lo anterior nos demuestra que las organizaciones están hoy expuestas y requieren generar sus planes de contingencias para estar preparadas ante un escenario de exposición al riesgo. Sin embargo, la importancia que se le da a este tema tampoco es de una magnitud que se destaque, siempre se considera a la áreas de seguridad como un costo y no como una unidad que agregue valor a la organización. El tema de la seguridad de la información debe ser una materia que sea tratado por el directorio de las empresas y dentro de ella en los comité de auditoría de la organización, se hace necesario que las directores de empresas hagan suyo en las preguntas del funcionamiento de la organización cómo están los niveles de seguridad de la información, cómo se avanza en las auditoría, si existen brechas o no, es importante que tengan a la vista los reportes que les proporcionen una mirada integral ante eventuales riesgos en materia de ciberseguridad.

En Chile el 69% de las empresas que está bajo la supervigilancia de la Superintedencia de Valores dice contar con canales de denuncias anónimas y trabaja en la instalación de modelos de prevención de delitos, pero en materia de seguridad nos encontramos que el 33% de las empresas no tiene implementadas las prácticas sugeridas de la gestión y control de riesgos. Temas como la gestión de riesgos, aplicación de estándares tales como COSO, ISO, COBIT no son frecuentes en las organizaciones. Esto debe desafiar a los directores a preocuparse de que se tomen las medidas de resguardo ante un activo muy importante como son los datos de las empresas.

Esta obligación ya está siendo exigida por algunos reguladores como es el caso de la Superintendencia de Bancos e Instituciones Financieras que en Carta Circular 1 del 7 de junio del 2016 estableció que el directorio y la alta gerencia se informe respecto de los riesgos asociados a la ciberseguridad y resuelvan respecto de las medidas de mitigación pertinentes. También allí se estableció que las empresas realicen una evaluación periódica de sus controles, considerando aspectos de identificación de los riesgos vinculados al uso de tecnologías de información, así como la suficiencia y efectividad de las medidas de protección y detección, y su capacidad de respuesta y recuperación ante la materialización de este tipo de amenazas. Cómo se debe operativizar esta recomendación es una decisión del Directorio, quien debe poner su agenda orientada a que se tomen las medidas de control pertinentes.

Hay que tener presente que en el entorno que vivimos hoy el tema de la ciberseguridad no solo es materia de los expertos informáticos, sino que es un tema multidimensional que involucra de manera transversal a diversas áreas en una organización tales como informática, auditoría, jurídica, operacional y riesgos. Si queremos la continuidad de las operaciones de las empresas, ellas deben trabajar mancomunadamente previniendo eventuales ataques, y los directores están llamados también a conocer este escenario.

Países