Alta Gerencia y Riesgos de Ciberseguridad

En un entorno altamente digitalizado y dependiente de nuevas tecnologías al interior de las organizaciones, comienzan a surgir diversos riesgos de carácter cibernéticos que no solo influyen en las actividades cotidianas de las organizaciones, sino que también necesariamente en los portafolios de riesgos de éstas, debiendo ser atendidas oportunamente por la Alta Gerencia de las Compañías.

Es importante mencionar una serie de normativas en el sector financiero, seguros, casinos y juegos, entre otros; que han establecido diversas obligaciones respecto del reporte de los incidentes de ciberseguridad, la necesidad de evaluar este tipo de riesgos en sus organizaciones, el establecimiento de políticas, procedimientos y planes de acción frente a los riesgos de ciberseguridad detectados, como también, contar con áreas especializadas en materia de ciberseguridad, a fin de tener una visión integral de esta materia. Su incumplimiento puede conllevar a que sean multadas como también afectar la confianza de los usuarios, así como su reputación.

En línea con este enfoque de integrar nuevas materias a los sistemas tradicionales de riesgos normativos, viene apoyado por la reforma en curso de la legislación respecto de los delitos informáticos (Boletín Nº 12.192-25)¹, que además de adecuar nuestra legislación al Convenio sobre Ciberdelincuencia (Budapest), agrega una serie de obligaciones para las empresas, particularmente modificando la Ley No. 20.393 sobre responsabilidad penal de las personas jurídicas, incorporando a los delitos informáticos como aquellos ilícitos contenidos en el artículo 1º de la mencionada norma. Ello, necesariamente repercutirá en la forma en que se adecuen los actuales programas de cumplimiento vigentes, particularmente aquellos instrumentos que lo conforman.

Especial atención revisten las matrices de riesgos, en que la actividad de una organización será de vital importancia tenerla presente para detectar la exposición a los riesgos cibernéticos, debiendo relacionarse intrínsecamente con otras obligaciones normativas ya existentes, y que por su dependencia a ciertas tecnologías, no configuren el ilícito en sí, pero si sirvan para que se produzcan alguno de los otros tipos penales de la normativa y con ello, quede en evidencia una debilidad en el modelo de cumplimiento implementado.

La necesidad de actualizar e integrar políticas propias en materia de ciberseguridad al modelo de cumplimiento, tales como aquellas relativas al control de accesos a los servidores, al uso de los dispositivos electrónicos de la organización como autorizados por los colaboradores, el registro de actividades en los sistemas informáticos, la segregación de las funciones y otras medidas concretas para resguardar la confidencialidad, disponibilidad e integridad de la información, se tornarán esenciales para acreditar que se ha gestionado adecuadamente este tipo de riesgo. El rol de la Gerencia de la Seguridad de la Información o Ciberseguridad será preponderante en su relación con las áreas de Riesgos, Legal y Compliance.

Finalmente, la importancia de prepararse frente a estas obligaciones no es baladí, sobre todo si se tiene en cuenta las multas asociadas por parte de los reguladores en caso de incumplimientos, especialmente, en el caso de infracción a los deberes de dirección y supervisión de la Alta Gerencia para efectos de comprobar que se han adoptados las medidas solicitadas por la ley para prevenir que la organización sea defectuosa y que producto de ello, se cometan los respectivos ilícitos, por ejemplo los informáticos.

¹Actualmente en tercer trámite constitucional, Comisión Mixta, Senado