El desafío, estar seguros o cumplir con la Ley de Delitos Informáticos

A portas de la aprobación y promulgación de una nueva Ley de Delitos Informáticos, se genera una sensación de apremio en las empresas cuyas operaciones están sustentadas en tecnología, debido a las experiencias previas de regulaciones o estándares de las industrias que obligan a la modificación y robustecimiento de los controles de seguridad de la información y ciberseguridad. Este escenario es una oportunidad para mejorar las capacidades de protección a los activos de información, información de los clientes (datos personales y financieros) y la información estratégica de la organización, generando elementos diferenciadores para sus clientes.

Ahora, la nueva normativa más que condicionar la aplicación de un grupo de controles específicos o definir obligación cumplimiento, incorpora conceptos y tipifica diversos ilícitos que se pueden materializar de múltiples formas en las organizaciones. Esto si condiciona a las organizaciones a evaluar como los controles de ciberseguridad existentes están integrados con los modelos de prevención de delitos, con mayor énfasis en los sujetos obligados a reportar a la Unidad de Análisis Financiero (UAF), así como asegurar que sus colaboradores, proveedores y demás actores con accesos a sus activos de información no puedan cometer ilícitos en sus plataformas tecnológicas. El resultado de este análisis si va a generar la implementación de nuevos controles y actualización de controles ya implementados.

En este punto es importante que las organizaciones cuenten con las herramientas mínimas necesarias a nivel de control de acceso y registro de actividades que les permitan presentar evidencias, tanto en el caso que sean vulnerados y más crítico aun, para el caso que colaboradores, proveedores o terceros usen los accesos otorgados en la plataforma propia para cometer actividades afectas a la ley. Para así poder transferir las responsabilidades a quienes corresponda o eventualmente, exonerase o atenuar su responsabilidad. Desde nuestra experiencia, muchas organizaciones cuentan con estas herramientas, pero la parametrización óptima es un proceso continuo que pocas tienen establecido formalmente, que vaya a la par de los nuevos productos y servicios que se están incorporando en la organización, como los cambios en el ecosistema de riesgo con la aparición de nuevas vulnerabilidades y por supuesto, los cambios regulatorios.

Existen otros habilitadores que aportarán a la protección en términos informáticos aspectos que las organizaciones deberán tener en cuenta a nivel de controles seguridad, tales como, los proyectos de “Ley para la Protección de Datos Personales” y “Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información”, junto con los ya establecidos Programa de Mejoramientos de la Gestión de Seguridad de la Información y el CSIRT para organismos públicos. Después de este contexto, los siguientes pasos deben ser recorridos por las organizaciones públicas y privadas, que deben definir responsables internos a nivel directivo para que puedan materializar la habilitación y gestión de controles de seguridad de la información y ciberseguridad, movilizando a todas las áreas dentro de la organización. El marco legal provee herramientas para defenderse ante eventos de ciberseguridad ya materializados, pero lo recomendable es un enfoque proactivo al respecto y por ende mitigar o disminuir estos eventos, ya que las leyes están fuera de este alcance. Por tal motivo, la protección de la continuidad operativa y el resguardo de la información de las organizaciones, parte por la definición de estrategias alineadas al negocio para la aplicación de controles robustos de forma priorizada, basados en estándares internacionales y soportados por tecnología. Y sobre todo como principal desafío, gestionar los controles ya implementados, actualizando los mismos en función de las directrices de estratégicas y evaluaciones de riesgos que permitan ser eficiente con los recursos. Finalmente, implementar estas modificaciones de forma proactiva conduce a una aplicación planificada y paulatina en los términos que las organizaciones establezcan y no estar actuando de forma reactiva con los plazos establecidos por el entorno tecnológico, o derechamente por los reguladores.