El actual líder de la Mesa de Ciberseguridad de Chiletec, César Pallavicini Z., analiza a través de su columna de opinión la importancia de la gestión de ciberseguridad en el avance tecnológico. "Debemos reflexionar sobre el futuro inmediato en materia de avances tecnológicos, que representa beneficios, pero que traen nuevas vulnerabilidades y riesgos que se deben considerar".

Un enfoque en las leyes de privacidad, los ataques de ransomware, los sistemas ciberfísicos, el comercio electrónico y la transformación digital este otros, están impulsando las prioridades de los líderes de seguridad de la información (que incluye la Ciberseguridad). Mientras en Chile, tuvimos un año 2021 con un aumento exponencial en los ciberataques, donde el sector financiero y retail han sido afectados, mientras escribo llega la noticia de hackeo a Mercado Libre, y si consideramos que empresas medianas también fueron atacadas, por tipo de fraude BEC (Business Email Compromise), donde los ciberdelincuentes obtuvieron varios millones de dólares, y por otra parte estamos a la espera de leyes que regulen la ciberseguridad y la promulgación de la reforma de la ley de protección de datos personales y algunas empresas miran tímidamente que pasa con GPDR en Europa, es obvio que hay mucho que avanzar y donde es fundamental la toma de conciencia de directivos y gerentes, para la aprobación de presupuestos de inversión y gasto, coherentes con el tamaña de empresa y con las cifras a nivel mundial de los ciberdelitos que se dice ya supera los ingresos del tráfico de droga.

Como representante de la Mesa de Ciberseguridad Chiletec -recientemente nombrado- buscamos seguir apoyando a las empresas socias en la gestión de Ciberseguridad. Hoy las empresas de servicios de tecnologías de la información y las comunicaciones, están insertas en la cadena de valor que desde las industrias de los sectores financiero, retail, seguros, cajas de compensación, etc., siendo reguladas por la CMF: Comisión para el Mercado Financiero. Esta institución, en varias de sus normas, exige el cumplimiento de la gestión de riesgo operacional en toda la cadena, razón por la cual antes y durante un servicio crítico, las empresas de los rubros antes mencionados exigen que gestionen el riego operacional, compuesto por sus 3 pilares estratégicos: Seguridad de la Información, Continuidad de Negocio y Calidad. Por esta razón, impulsaremos desde la mesa esto temas, junto a la toma de conciencia desde los directivos para desarrollar e implementarlas normas internacionales ISO 27001, ISO 27032 como las mejores prácticas de Seguridad de la Información.

Es importante que los directivos consideren la opinión de analistas de Gartner que predicen más implicaciones de descentralización, regulación y seguridad en los próximos años y aconsejan incorporar estos supuestos de planificación estratégica en su hoja de ruta para este año. A continuación, me permito resumir algunas de las predicciones que creo son más relevantes para nuestro país:

1. Para finales de 2023, las leyes de privacidad modernas cubrirán la información personal del 75% de la población mundial. GDPR fue la primera legislación importante para la privacidad del consumidor, pero fue seguida rápidamente por otras, incluida la Ley General de Protección de Datos Personales (LGPD) de Brasil y la Ley de Privacidad del Consumidor de California (CCPA). El gran alcance de estas leyes sugiere que administrará múltiples leyes de protección de datos en varias jurisdicciones, y los clientes querrán saber qué tipo de datos está recopilando y cómo se están utilizando. Estandarice las operaciones de seguridad de la información utilizando GDPR como base y luego ajuste para las jurisdicciones individuales y locales de cada país.

2. Para 2024, las organizaciones que adopten una arquitectura de malla de ciberseguridad reducirán el impacto financiero de los incidentes de seguridad en un promedio del 90%. Las organizaciones ahora admiten una variedad de tecnologías en diferentes lugares, por lo que necesitan una solución de seguridad flexible. La malla de ciberseguridad se extiende para cubrir identidades fuera del perímetro de seguridad tradicional y crear una visión holística de la organización. También ayuda a mejorar la seguridad para el trabajo remoto. Estas demandas impulsarán la adopción en los próximos dos años.

3. Para 2024, el 30% de las empresas adoptarán las capacidades Secure Web Gateway (SWG), Cloud Access Security Brokers (CASB), Zero Trust Network Access (ZTNA) y Firewall As A Service (FWaaS) entregadas en la nube del mismo proveedor. Las organizaciones se están inclinando hacia la optimización y la consolidación.

4. Para 2025, el 60% de las organizaciones utilizarán el riesgo de ciberseguridad como determinante principal en la realización de transacciones de terceros y compromisos comerciales. Los inversores, especialmente los capitalistas de riesgo, están utilizando las vulnerabilidades de ciberseguridad como un factor clave en la evaluación de oportunidades. Cada vez más, las organizaciones recurren al riesgo de ciberseguridad durante los acuerdos comerciales, y contratos de servicios, incluidas las fusiones y adquisiciones

5. Para 2025, el 40% de las juntas directivas y/o directorios tendrán un comité de ciberseguridad dedicado supervisado por un miembro calificado de la junta. A medida que la ciberseguridad se convierte (y sigue siendo) lo más importante para las juntas, espere ver un comité de ciberseguridad y una supervisión y escrutinio más estrictos; sobre todo para las industrias más reguladas por la CMF: Comisión para el Mercado Financiero.

6. Para 2025, el 70% de los CEO’s exigirán una cultura de resiliencia organizacional para sobrevivir a las amenazas coincidentes de la ciberdelincuencia, los eventos climáticos severos, los disturbios civiles y las inestabilidades políticas. Vaya más allá de la ciberseguridad y entre en la resiliencia organizacional para tener en cuenta entornos de seguridad más amplios. Trabajar para definir la resiliencia y los objetivos de la organización, y crear un inventario de los riesgos cibernéticos que los afectan.

Finalmente invitamos a las empresas a reflexionar sobre el futuro inmediato en materia de avances tecnológicos, que representa beneficios, pero que traen nuevas vulnerabilidades y riesgos, que se deben considerar y que nuestro estado de madurez no puede seguir en el rango de 150 empresas certificadas en Gestión de Seguridad de la Información bajo la norma internacional ISO 27001.

César Pallavicini Z.

Líder Mesa de Ciberseguridad Chiletec