Los sistemas de gestión de seguridad de la información están a la orden del día, no sólo debido a la normativa sino también por los estándares que los clientes nacionales e internacionales exigen a la hora de comprar.
“Prevenir es mejor que curar” puede que sea una de las frases más viejas de la historia. Y aunque suele aplicarse con mayor frecuencia en el ámbito médico, hoy aplica más que nunca al mundo corporativo. Por eso, las normas ISO 27.001:2022 e ISO 27.701:2019 se han convertido en manuales de cabecera para las organizaciones que buscan entre otros, prevenir delitos relacionados con el lavado de activos e incluso faltas graves relacionadas con la seguridad y la privacidad de la información.
“El paso previo al trabajo con un estudio o departamento jurídico es la consultoría legal. Personalmente, me toca hablar más con ingenieros que con otros abogados para entender, por ejemplo, los impactos asociados a comprar o vender un software. Éstos pueden ser relevantes tanto para los clientes como para los proveedores”, explicó Matías Rojo, líder de Data Legal Consulting.
De hecho, según el abogado, especialista en ciberseguridad y compliance, la Ley 20.393 que establece la responsabilidad penal de las personas jurídicas de derecho privado y empresas estatales incorporó ocho nuevos delitos de carácter informático que implicaron modificar los modelos de prevención en muchas organizaciones.
“Es la primera norma legal que consideró el concepto de dato informático, sistema informático, y receptación de datos informáticos, entre otros, y, por eso, las capacitaciones son cruciales no sólo para las áreas informáticas”, comentó el consultor.
Información a todos
Como implementador las normas, Matías Rojo, tiene muy claro que la información debe llegar tanto a los directores, como a los encargados de compliance; pero también a los gerentes de Administración y Finanzas y a los CISO y a los CTO. “Si las empresas no se protegen frente a los delitos informáticos establecidos en la Ley 20.393, las multas a las que se exponen las empresas pueden llegar hasta las 300 mil UTM en los casos más severos e incluso pueden llegar a ser clausuradas”, afirma el abogado de Data Legal Consulting.
A su vez, el gerente general de Certhia, Guillem Pastor, agregó que “la norma establece un marco de trabajo para proteger la confidencialidad, integridad y también para asegurar la disponibilidad de la información. Lo mejor de todo, es que es aplicable a organizaciones de todo tipo: privadas, estatales y sin fines de lucro”.
Esta norma internacional puede ser una herramienta muy valiosa para demostrar a los clientes y otras partes interesadas que la seguridad de la información se toma en serio
Y es que, tal como dijo el senador Kenneth Pugh al concluir el estudio de la iniciativa, “los delitos que hacen uso de la tecnología, los ataques a la infraestructura crítica, secuestros de información y los ramsonware, son pan de cada día. Tenemos que protegernos y crear nueva institucionalidad con un nuevo sistema nacional de ciberseguridad”.
Este importante avance -que busca posicionar a Chile como un referente digital en Latinoamérica- es también una oportunidad para que muchas organizaciones mejoren sus estándares.
De hecho, anticipándose a la promulgación de la ley, muchas empresas han acudido a certificadoras para iniciar un proceso de auditoría y certificación que demuestre que cumplen con los requisitos de la norma ISO/IEC 27001:2022, un estándar internacional que permite contar con un sistema de gestión de seguridad de la información.
Auditar
En este contexto, auditar y certificar a la organización en ISO facilita también la identificación de activos de información y la evaluación de riesgos. Además, contribuye a la implementación de medidas de seguridad adecuadas y aporta directrices para la capacitación del personal relacionado con la seguridad de la información y la gestión de incidentes de seguridad.
“Esta norma internacional puede ser una herramienta muy valiosa para demostrar a los clientes y otras partes interesadas que la seguridad de la información se toma en serio y que se cuenta con un sistema de gestión sólido y eficaz”, concluyó Pastor.
Junto con incentivar una adecuada gestión de los riesgos, la iniciativa pretende crear una Agencia Nacional de Ciberseguridad que elevará los estándares de seguridad digital para beneficio de todos.
