Al hablar de ciberseguridad se suelen indicar una serie de herramientas indispensables para evitar ser víctima de ataques, tales como firewalls, multi-factor authentication, e encriptación. Muchas veces se describen en detalle los métodos que utilizan profesionales del cibercrimen para tener acceso a sistemas confidenciales o interrumpir su funcionamiento, tales como phishing, ramsonware y ataques DDoS. Sin embargo, en el debate público se suele obviar que todo plan de prevención de riesgos de la seguridad de la información se sustenta también sobre otros pilares, más allá de las medidas técnicas de seguridad. 

La triada de la seguridad de la información se compone de procesos, tecnología y personas.  Es este último pilar el que se encuentra especialmente exigido en el presente contexto de pandemia. Existen diversas estadísticas disponibles, pero todas coinciden que un porcentaje altísimo de vulnerabilidades se producen por error humano involuntario, más que una falla en la tecnología o un intento malicioso de ataque.

Según el Instituto Ponemon, centro de estudio especializado en la investigación del fenómeno de la seguridad de la información, el 49% de los incidentes de ciberseguridad o fuga de información se producen por errores humanos.  Queda claro que sin una adecuada atención al factor humano en la ciberseguridad, los intentos organizacionales por prevenir incidentes se convierten en una tarea fallida.  

Lo anterior, se ha hecho incluso más apremiante en un contexto de pandemia y teletrabajo, en que los colaboradores pueden encontrarse sin la guía y el consejo permanente en manejo de información de parte de su empleador, con la dificultad adicional que puede resultar de estar trabajando, en algunos casos, desde sus dispositivos personales, compartiendo la funcionalidad de su celular y computador propio con tareas de su responsabilidad como trabajador.

A lo anterior, se debe sumar que los últimos años han existido avances significativos a nivel normativo asociadas a obligaciones en ciberseguridad en determinadas industrias. Es un objetivo explícito de nuestra Política Nacional de Ciberseguridad, tener estándares diferenciados de protección, por lo que desarrollo de nuevas obligaciones normativas no se ha detenido con la pandemia, sino que se ha acelerado.  

De esta manera, un incidente de igual naturaleza ocurrido en una organización dedicada al rubro de la venta de alimentos, puede tener los mismos efectos materiales (fuga de información, interrupción de producción etc.) pero muy distintas consecuencias legales. Por poner un ejemplo, la detección de una vulnerabilidad en la industria bancaria obliga al reporte no sólo a la respectiva autoridad dentro de los 30 minutos de su ocurrencia, sino también conlleva la obligación de compartir información con el resto del mercado para evitar que el daño se propague. 

Para dicha industria, el desafío de la ciberseguridad es doble; lograr que cada colaborador aplique no sólo las prácticas de seguridad adecuadas desde su dispositivo remoto, sino que tenga conciencia de las obligaciones legales y normativas particulares aplicables a su industria en caso de existir una vulnerabilidad. 

Hace unos días, el Ministerio de Salud puso en consulta pública un reglamento sobre acciones vinculadas a la atención de salud realizada a distancia (telemedicina), la que sugiere un plazo máximo de 72 horas para reportar a la autoridad sanitaria la existencia de un incidente de ciberseguridad. Además, se obliga a informar previamente al paciente de la política de privacidad y seguridad de la información que el prestador de salud tiene disponible antes de realizar el servicio.  Similares normativas, imponiendo condiciones mínimas de seguridad, tiempos de reporte y responsabilidad sobre los respectivos Directorios, están en discusión para aseguradoras, la que se suma a las obligaciones específicas que ya existen para telecomunicaciones, empresas eléctricas, bancos e industria financiera, entre otros. 

En este contexto, la pregunta básica para las gerencias de los miles de empresas que actualmente están desarrollándose desde un contexto de teletrabajo, no es sólo si los colaboradores están siendo capacitados adecuadamente en las mejores prácticas de ciberseguridad, sino también si ellos entienden la particularidad normativa que afecta su industria que puede multiplicar el daño y consecuencias negativas para su empleador, más allá de la afectación material de una vulnerabilidad técnica. 

Óscar Molina | Director de TI, Privacidad y Medios | Albagli Zaliasnik