Desafíos Legales en un Mundo en Evolución

En la actualidad, el vertiginoso avance de la tecnología plantea un desafío considerable para mantenerse al día con estos cambios. En este escenario, la lentitud en los procesos de creación y aprobación de leyes y regulaciones impide lograr los niveles de cumplimiento esperados.

A pesar de este reto, en los últimos años se ha observado un mayor enfoque en este aspecto a nivel nacional. Han surgido normativas y proyectos de ley más específicos y rigurosos con respecto a este tema.

Dentro de los avances asociados a esta temática destacamos 3 normativas relevantes:

Ley 21459 sobre delitos informáticos en Chile

La Ley de Delitos Informáticos (Ley N° 21.459) reemplaza la legislación anterior de 1993, adaptándose a las realidades actuales. La normativa, denominada oficialmente "Convenio de Budapest", actualiza los tipos de delitos informáticos y facilita la persecución internacional de estos delitos.

La ley define y contempla diversos delitos informáticos, incluyendo acceso ilícito, interceptación ilícita, ataques a datos informáticos, falsificación y fraude informático, entre otros. Considera agravantes la posición de confianza en el sistema informático y el afectar servicios públicos o procesos electorales. Proporciona herramientas para perseguir estos delitos a nivel nacional y transnacional, incorporando estándares de evidencia electrónica y abarcando la responsabilidad penal de personas jurídicas.

Ley Marco de Ciberseguridad e Infraestructuras Críticas de la Información

El proyecto de Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información busca definir normativas e institucionalidad para coordinar la ciberseguridad en el gobierno y la relación público-privada.

Su enfoque incluye fomentar la cultura de seguridad digital y proteger a las personas en el ciberespacio. Además, establece requisitos mínimos para la prevención y respuesta ante incidentes de seguridad informática. Define qué es la infraestructura crítica de la información y sus obligaciones para los órganos a cargo, y otorga competencias de fiscalización a entidades reguladoras.

Esta norma busca fortalecer la ciberseguridad, promover la prevención, la formación en seguridad digital y la respuesta a contingencias en el sector público y privado. Define términos clave como:

Ciberataque y ciberseguridad.
Regula principios rectores: actualización de programas computacionales, confidencialidad de los sistemas informáticos, control de daños, cooperación con la autoridad, disponibilidad de los sistemas informáticos, igualdad y no discriminación, integridad de los sistemas informáticos y de la información, protección integral, responsabilidad, respuesta responsable y cifrado.
Determina la infraestructura crítica de la información.
Establece roles de instituciones.
Crea organismos como la Agencia Nacional de Ciberseguridad y el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional).
Establece la prohibición de realizar pagos de cualquier tipo por rescate ante un ataque de secuestro digital o ransomware.
Presenta una lista de deberes para organismos del Estado con competencias específicas sobre servicios esenciales y las instituciones privadas calificadas como operadores de importancia vital.

Empresas obligadas a prevenir delitos económicos de terceros

Esta iniciativa, pese a tener un marco general, ejerce una influencia destacada en el ámbito de la ciberseguridad. Las entidades certificadoras registradas en la CMF (Comisión para el Mercado Financiero), adoptarán el rol de evaluadoras independientes de programas de cumplimiento. Se enfatiza que el punto de partida para que la función de cumplimiento pernee de manera efectiva todas las áreas organizativas radica en el ámbito de la gobernanza corporativa.

La normativa exige que el modelo de cumplimiento se extienda a aquellos que gestionan operaciones en su nombre, lo que implica que los terceros también deben ser considerados en términos de riesgos cibernéticos y medidas preventivas.

El propósito de la ley es garantizar que, si una empresa delega funciones en otras entidades, no quede eximida de las posibles transgresiones. Esto conlleva la gestión de los riesgos asociados con terceros, de manera que la empresa asuma responsabilidad por todas las acciones realizadas en su nombre.

Aunque la ampliación de responsabilidad puede parecer un desafío, se destaca que una empresa que ya cuente con un modelo de prevención efectivo, realice una diligencia adecuada en relación con sus proveedores, supervise de manera continua y ofrezca capacitación adecuada, no debería enfrentar responsabilidades cibernéticas significativas, según los expertos de PwC.

¿Por qué son necesarias?

En el contexto actual, en el que la dependencia de las tecnologías digitales es cada vez mayor, las leyes y normativas de ciberseguridad son más importantes que nunca. Estas leyes y normativas ayudan a crear un entorno cibernético más seguro y protegido para todos, y son importantes por varios motivos, entre los que destacan:

Protegen a las personas y las organizaciones de las amenazas cibernéticas. Los ataques cibernéticos pueden tener un impacto devastador en las personas y las organizaciones, ya que pueden provocar la pérdida de datos, el robo de identidad, la interrupción de las operaciones y el coste económico. Las leyes y normativas de ciberseguridad ayudan a proteger a las personas y las organizaciones de estas amenazas.
Favorecen el desarrollo de la ciberseguridad. La ciberseguridad es una disciplina compleja y en constante evolución. Las leyes y normativas de ciberseguridad ayudan a promover el desarrollo de la ciberseguridad al proporcionar un marco regulatorio claro y coherente. Esto ayuda a las organizaciones a invertir en ciberseguridad con confianza, ya que saben que están cumpliendo con los requisitos legales y normativos.
Garantizan la transparencia y la equidad. Las leyes y normativas de ciberseguridad ayudan a garantizar la transparencia y la equidad en el entorno cibernético. Al establecer normas y requisitos claros, las leyes y normativas de ciberseguridad ayudan a prevenir la ventaja injusta de unas organizaciones sobre otras.

¿Cómo afectan a las empresas?

Adaptarse a las nuevas normativas requiere de un análisis detallado de las relaciones, transacciones y operaciones con terceros vinculados a la empresa en cuestión, e incorporar cláusulas de cumplimiento en los contratos correspondientes.

Por ejemplo, con la entrada en vigor de la ley asociada a delitos económicos de terceros, las infracciones cometidas en filiales podrían tener implicaciones directas para la entidad matriz, generando la necesidad de implementar programas de cumplimiento relacionados con la ciberseguridad en todos los niveles de la organización.

Además, las leyes y normativas de ciberseguridad pueden ayudar a:

Establecer normas y requisitos para la protección de la información personal y sensible.
Requerir que las organizaciones implementen medidas de seguridad adecuadas para proteger sus sistemas y redes.
Garantizar la respuesta rápida y eficaz a los incidentes cibernéticos.
Promover la cooperación entre las organizaciones y las autoridades públicas para luchar contra las amenazas cibernéticas.

¿Qué medidas deben tomar?

Las empresas deben cumplir con diversas obligaciones según estas normas, incluyendo la implementación de un sistema de gestión continua de información, la creación y aplicación de planes de continuidad operativa, la realización de revisiones, ejercicios, simulacros y análisis de redes.

Además, deben adoptar medidas para mitigar el impacto y la propagación de incidentes, informar a la comunidad sobre incidentes o ciberataques, y desarrollar programas de capacitación y campañas de ciber higiene. También están obligadas a informar al CSIRT sobre ciberataques e incidentes de ciberseguridad, cumpliendo con plazos establecidos para tales reportes.

Es fundamental que las organizaciones estén al tanto de las políticas y los parámetros de cumplimiento establecidos para garantizar su seguridad y cumplir con las leyes. Ante esta necesidad, cobra vital importancia la investigación y desarrollo continuo de soluciones de ciberseguridad que sean resilientes y adaptables.

En la actualidad, numerosas empresas líderes en ciberseguridad están canalizando inversiones hacia tecnologías de vanguardia para resguardarse ante amenazas emergentes y de alto nivel de sofisticación.

Por otro lado, dada la persistente carencia de educación cibernética en el país, se torna esencial mantener una estrecha colaboración con expertos. Estos profesionales pueden brindar asesoramiento y orientación a las organizaciones, facilitando la toma de decisiones informadas y la consecución de los estándares de cumplimiento necesarios.

Recomendaciones

Como es bien sabido, la pérdida de la continuidad operacional y la filtración de datos, junto con el daño a la reputación, pueden tener consecuencias devastadoras para las organizaciones. La puesta en marcha de normativas más duras en este tema tiene como objetivo prevenir estas situaciones, para proteger tanto a las organizaciones como a las personas.

El endurecimiento de las medidas asociadas trae consigo un gran desafío para las organizaciones, las que tendrán que tener mayor precaución y generar mayores inversiones en su estrategia de ciberdefensa para poder estar a la altura de lo que la ley exige.

Ante esta realidad, es esencial desarrollar una estrategia de ciberdefensa integral, centrada en generar resiliencia en la mentalidad, cultura y enfoque de la organización. Alinear la ciberseguridad con la estrategia de negocio permite proteger mejor a la organización y fortalecer continuamente su resiliencia cibernética, defendiendo exhaustivamente los activos críticos para la continuidad del negocio.

Sin importar si se trata de una pequeña organización que está empezando o una gran corporación que esté avanzada en materia de seguridad, en Widefense acompañamos a las organizaciones en su recorrido hacia una ciberdefensa integral.