Por José Lagos, director académico UEjecutivos, Facultad de Economía y Negocios, Universidad de Chile.
Hoy, el crecimiento del cibercrimen en el mundo y en la región llega a una tasa del 15% anual; se detectan en promedio cerca de 70 vulnerabilidades cada día, de las cuales en promedio 12 de ellas se clasifican como críticas y/o altas, además es posible comprar vulnerabilidades en la deep web por US$ 25.000, que pueden ser utilizadas para explotar vulnerabilidades de las empresas y la sofisticación de las amenazas supera con creces la evolución de la industria de protección de software.
En este contexto, la promulgación de la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, el pasado 26 de marzo, convierte a Chile en el primer país en Latinoamérica en tener un marco regulatorio en esta materia.
Esta regulación establece la creación de la Agencia Nacional de Ciberseguridad (ANCI), organismo que permitirá regular, fiscalizar y sancionar con multas de hasta $ 2.600 millones aquellos incidentes o ciberataques que afecten a las empresas públicas o privadas que presten servicios esenciales, tales como aquellos relacionados a la industria de la salud, energía, agua, transporte y financieros entre otros.
En este escenario, también es importante entender que las organizaciones deben avanzar a un próximo nivel en materia de ciberseguridad, que no solo implica definir controles preventivos y detectivos, o implementar un framework de control, sino hacer frente a un escenario turbulento digitalmente por medio de una gobernabilidad adecuada, una estrategia de cibercrisis, instalar una cultura de ciberseguridad madura y herramientas de ciberseguridad predictiva.
La gobernanza de la ciberseguridad comienza por el entendimiento de parte de los directores de empresas que la transformación digital genera más riesgos digitales y más activos digitales. Para preservar su valor, deben ser protegidos con ciberseguridad, la que debe ser el principal habilitador de la transformación digital. Sin ciberseguridad, el viaje digital terminará en un gran incidente, que puede provocar en las organizaciones una fuga de clientes, estados financieros con pérdida y daño reputacional, entre otros impactos.
En el caso de una cibercrisis, cuando una organización es definida como un objetivo de ataque, la probabilidad de que resista el ataque es baja. La mejor estrategia de defensa es desarrollar, implementar y simular una respuesta. Es mejor estar detenidos dos semanas por un ransomware que ocho semanas, por no haber desarrollado y creado las capacidades de respuesta al interior de la organización.
En relación a la madurez en la cultura de ciberseguridad, esta debe ser más robusta, ya que es la mayor defensa que tienen las organizaciones. Las estadísticas no mienten, pues las personas son el problema y el objetivo de los ataques: más del 90% de los incidentes de ciberseguridad son provocados por un error humano, siendo el phishing la amenaza más presente en Latinoamérica, según un estudio de la Universidad de Duke del año 2023.
Para una ciberseguridad predictiva, las organizaciones deben incorporar una serie de herramientas de protección, basadas en inteligencia artificial, que esté orientada a la predicción, utilizando los algoritmos que provee el machine learning.