4 de julio de 2019

Los líderes industriales están obligados a cuestionar el rol que ejercen frente a la ciberseguridad

Nota: La siguiente es una reproducción de la columna del Director Nacional del CSIRT, Carlos Landeros, enviada a CIGRE Chile. La misma puede ser encontrada en el siguiente enlace:  
https://www.cigre.cl/2019/07/02/los-lideres-industriales-estan-obligados-a-cuestionar-el-rol-que-ejercen-frente-a-la-ciberseguridad/

La responsabilidad de manejar los riesgos en ciberseguridad empieza por los líderes de la industria. A diferencia de otras transformaciones que enfrenta la sociedad, el cambio cultural que demanda la ciberseguridad no parte por los usuarios de los servicios, sino por quienes las conducen.

El manejo de recursos y la toma de decisiones entre unos y otros, les asigna una mayor cuota de responsabilidad a estos últimos. Y si esta brecha puede ser considerada significativa, la que existe entre ambos y los expertos en las Tecnologías de la Información y Comunicación solo puede ser calificada como preocupante.

Los líderes industriales, así como lo está haciendo el gobierno, están obligados a cuestionar el rol que ejercen frente a la ciberseguridad. El Presidente Sebastián Piñera, hizo un ejercicio retórico al preguntarse si estamos preparados frente a los avances de las tecnologías en esta cuarta revolución. Lo mismo cabe para cada uno de los líderes en el ámbito de la ciberseguridad, especialmente aquellos que, como en el sector eléctrico, están al frente de una infraestructura crítica para el país. Las preguntas son simples: ¿cuál es el rol que jugamos en este ámbito? y si ¿estamos realmente preparados?

La principal diferencia para contar con una cibercapacidad robusta y resiliente, en cualquier ámbito, se supera con inversión y saber en qué invertir. Adquirir herramientas es un paso importante pero disponer de la capacidad humana para administrar esas tecnologías es esencial, así como crear conciencia en los usuarios.

La ciberseguridad, al final del día, es un desafío de las organizaciones. Todos deben entender y manejar los riesgos en ciberseguridad con la misma prudencia con que se manejan los riesgos físicos, y quizás en esto,  estriba el principal cambio cultural en las organizaciones. La otra perspectiva que debe cambiar es aquella que nos hace pensar que los esfuerzos se terminan o se acotan sólo a la organización a la que pertenezco.

Es cierto que el mercado se define, en gran medida, por una competencia natural entre diferentes oferentes de servicios, pero a la hora de proteger al sector y a la economía en general, el esfuerzo no se limita a la protección de una organización específica. En nuestro hiperconectado ecosistema, el ataque cibernético a una organización podría permearse a todo un sector industrial y llevar a la parálisis al mismo.

Lo cierto es que los riesgos y las consecuencias de los ataques informáticos que pueden afectar a una industria o a un área de la economía, podrían afectar también a las demás. No cuesta mucho imaginar las consecuencias de un ataque al sector eléctrico. Sin esa fuente de energía se limitarían los trabajos, las comunicaciones, el comercio y el transporte. En otras palabras, colapsaría la economía.

Así como en el pasado, los líderes de la industria fueron capaces de proporcionar a la sociedad chilena la energía que necesitaba para emprender, hoy recae en los nuevos liderazgos la responsabilidad de resolver las demandas por atender y preservar este recurso frente a la amenaza cibernética. La coordinación entre las organizaciones que son parte de este sistema y la forma de compartir la información en su sector económico para enfrentar estos desafíos son esenciales.

El sistema eléctrico juega un rol fundamental en la sociedad. Proteger este sistema contra las amenazas es brindar mayores garantías a la prosperidad del país. La colaboración, por encima de la legítima competencia del mercado, obliga a todos a desarrollar, adoptar y compartir buenas prácticas con el objetivo de alcanzar la resiliencia en ciberseguridad.

El Estado, a través de tres proyectos legislativos -la Nueva Ley de Delitos Informáticos para proteger los sistemas informáticos, incluyendo el del sector eléctrico; la Nueva Ley de Datos Personales para proteger la información o datos de estos sistemas; y la Nueva Ley de Gobernanza e Infraestructura Crítica de la Información que asigna obligación al sector privado de reportar y cumplir con estándares de ciberseguridad- y la creación del CSIRT Nacional (Equipo de Respuesta ante Incidentes de Seguridad Informática), está liderando esos esfuerzos en el sector público en materia de ciberseguridad, y en su rol, busca crear un ciberespacio libre, abierto y seguro. Porque hoy sabemos, que solo uniendo esfuerzos podremos enfrentar los desafíos de la digitalización y la hiperconectividad y podremos avanzar como país.