Ley Marco en Ciberseguridad : Compliance, Gestión de Riesgo o Ventaja Competitiva

Cómo muchos de ustedes saben, el 26 de marzo de 2024 se promulgó la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, en donde se establece la creación de la Agencia Nacional de Ciberseguridad (ANCI), organismo que regulará, fiscalizará y sancionará a las empresas, públicas o privadas que presten servicios esenciales, tales como aquellos relacionados a la industria de la salud, energía, agua, transporte y financieros entre otros.

Pero probablemente, lo que muchos de nosotros desconocemos es la respuesta que darán las organizaciones a este nuevo marco regulatorio. La experiencia me dice que la respuesta de las empresa puede estar focalizada en alguno de los siguientes elementos: Cumplimiento, Gestión de Riesgo o Ventaja Competitiva

Foco en Cumplimiento

Muchas empresas que aún siguen pensando en el área de ciberseguridad como un costo, considerarán cumplir los aspectos mínimos para estar en cumplimento y no tener problemas con el regulador, con una fuerte mentalidad en solo realizar lo que me obliga la ley. En este escenario la inversión en ciberseguridad es mínima y el foco es preocuparnos por la implementación de un framework de control, los cuales al final son solo eso, marcos que son más o menos estáticos, sin dinamismo, por lo cual solo deben ser considerados como parte de la línea base, es el inicio de algo, pero de ningún modo el fin. La Turbulencia Digital y el ruido de los datos, hace que finalmente los framework de control no sea tan efectivos en la actualidad, y la mayoría de las organizaciones cae en la trampa de los marcos de control. Recuerdo el Caso de la empresa Target, la cual fue hackeada meses después de obtener la certificación PCI.

Foco en Gestión de Riesgo

Otras organizaciones entienden que la transformación digital, y en general la incorporación de tecnología, genera nuevos riesgos digitales, en donde es necesario identificarlos y gestionarlos. En el mundo de la ciberseguridad, es importante no solo considerar los riesgos, sino que las amenazas y las vulnerabilidades que generarán riesgos adversos para la organizaciones. En este escenario, muchas organizaciones irán más allá del cumplimiento y generarán capacidades para gestionar los riesgos de ciberseguridad. Importante entender en este punto, que cualquier framework de gestión de riesgo no da lo mismo, ya que la pérdida esperada de un determinado riesgo, pueden ser números distintos dependiendo de la metodología usada. De este modo, y solo a modod de ejemplo, un mismo riesgo de ciberseguridad al ser evaluado con COSO ERM, ISO 31.000 o FAIR (Factor Análisis Information Risk), entregará pérdidas esperadas distintas, por lo cual el método utilizado puede subvaluar o sobrevaluar la pérdida esperada final, aspecto que puede esconder debilidades tremendas en las técnicas de gestión de riesgo utilizadas por la compañía para mitigar los riesgos (Aceptar, Transferir, Mitigar y Evitar) ya que los resultados pueden ser distintos dependiendo de la metodología de riesgo utilizada.

Foco en Ventaja Competitiva

Finalmente, empresas con un nivel avanzado de madurez, entienden que para competir adecuadamente en la economía digital, es necesario considerar la ciberseguridad y la protección de datos como una ventaja competitiva. Al analizar diversas empresas que lamentablemente han tenido un incidente de ciberseguridad, los impactos han sido variados, con pérdida de clientes (los cuales se han ido a la competencia), gastar dinero no presupuestado en asesorías comunicacionales, forenses, abogados y en general una disminución de ingresos que ha afectado la productividad y  la última línea, pérdida de reputación, falta de confianza por parte del mercado, incluso generando pérdidas financieras en el balance del año del incidente.

Entonces, el punto es cómo habilitamos la ciberseguridad y la protección de datos como una ventaja competitiva, lo que se realiza generando las capacidades dinámicas que me permiten responder rápidamente y eficazmente a los cambios del entorno, en resumen, capacidades dinámicas orientadas a conocer las vulnerabilidades que día a día se detectan (en promedio 70 vulnerabilidades diarias, de las cuales en promedio son 12 de críticas o altas), aparición de nuevos malware y ransomware, actividades en la deep web, ataques en la industria, y como somos capaces de internar y reaccionar rápidamente según la información obtenida, mejorando las defensas de la empresa, lo cual implica una función de ciberseguridad ágil, analítica y predictiva, con fuertes capacidades de innovación.

Si deseas conocer más, de cómo implementar capacidades dinámicas en ciberseguridad, por favor no dudes en contactarme.

José Lagos

CEO and Managing Partner

Cybertrust LATAM

jose.lagos@cybertrust.cl