Ciberseguridad, un problema latente

Ciberseguridad, un problema latente
Imagen referencial: Pixabay

“El hecho de no tener una regulación clara en materia de ciberseguridad es el menor de los problemas que enfrentan las organizaciones”, señala Erick Iriarte Ahon, abogado especialista en derecho digital, en este artículo de opinión. ¡Te invitamos a leerlo!

Aunque resuelte curioso, el hecho de no tener una regulación clara en materia de ciberseguridad es el menor de los problemas que enfrentan las organizaciones en tiempos digitales, más cuando lo que tienen enfrente es un atacante que afecta sus activos digitales y, muchas veces, no hay mucho que hacer para bloquearlo.

Y es que la investigación en temas de informática forense llega siempre después de los hechos, después de la brecha expuesta, de los datos obtenidos, de la información accedida, después que el servidor esta inservible o encriptado. Siempre se llega tarde.

Los ejercicios de prevención sirven para evitar una diversidad de ataques, el desplegar políticas de mitigación de riesgo, establecimiento de políticas y cumplimiento de estándares, añaden capas de menor inseguridad, pero como bien dijo alguna vez un buen amigo: “No hay seguridad, lo que hay son menores niveles de inseguridad”.

Y si esto es un tema tan grave, que ataca desde los móviles que tienes en tu casa (y que no guardan mas que tu propia información) hasta los activos críticos nacionales (como los recientes ataques al sistema de oleoducto en USA), ¿por qué no se toma la conciencia debida sobre esta problemática?

Resulta aún difícil de entender que no se reporten las brechas que se producen (mismas que ya de por sí demuestran que existen dichas brechas pero que pudieran ayudar a otros a mejorar sus procesos y evitarlas); la mayoría de las organizaciones no denuncian por temor “al riesgo reputacional”, por el posible impacto en su “valor de empresa”, en las sanciones que pudieran recibir por no haber cumplido las normativas vigentes. Pero también esta falta de información hace creer que no esta ocurriendo nada, o que la situación no es tan grave como parece.

Cientos de compañías alrededor del mundo son afectadas diariamente con diversos tipos de incidentes informáticos, desde desactualizaciones de software que abren brechas hasta ataques con fuerza bruta, pasando por ataques desde dentro de las organizaciones hasta ransonware. Miles de dólares en “rescate” que al final se termina en chantaje. Miles de dólares en inversión para evitar dichos ataques; miles en inversión para desplegar políticas de ciberseguridad. Es cierto que esta temática ha generado una gama de nuevos empleos (que aún falta mucho por desarrollar en Perú y requiere de la cooperación de expertos y empresas que vienen de otros países porque no nos damos abasto).

Y las preguntas son ¿Y la alta dirección cómo se está involucrando?, ¿Cuántas organizaciones tiene en su directorio una persona que ve estos temas? (que ya es normal por ejemplo en la banca), ¿Cuántas organizaciones dependen de sistemas informáticos propios (o de terceros) para la continuidad de su negocio y no invierten en ciberseguridad?, ¿Cuántas organizaciones consideran el tema de ciberseguridad como un mero adjunto a la unidad de tecnología?, ¿Cuántos prefieren pagar un rescate por no tener adecuadas políticas de ciberseguridad a invertir para evitar estas acciones?; y si miramos al Estado, que tiene como obligatorio primero el ISO 17799 y luego el 27000 sobre ciberseguridad, en efecto, ¿Cuántas cumplen realmente estas medidas mínimas para resguardar la información de la ciudadanía que tienen en su custodia o para resguardar la información que sirve para sus funciones?

La verdad es que los datos que podemos encontrar no nos ayudan. No se puede comprender cómo la alta dirección de las organizaciones no afronta esta problemática, pero peor aún no lo entenderán hasta que les ocurra.

Finalmente, las normativas sobre protección de datos personales y de ciberseguridad no son nuevas en los estándares de la industria (tanto a nivel nacional como internacional), pero  el cumplimiento de las mismas se ha visto cuestionado por el sector privado como sobrecosto; sin embargo, la transformación digital, y en concreto la acelerada por el período de la pandemia, ha mostrado que las organizaciones que han desplegado un cumplimiento normativo de dichas legislaciones (ya de por si obligatorias) terminan teniendo ventajas competitivas frente a otras que no lo realizan , siendo además mandatorio en diversas jurisdicciones.

Columna de opinión por: Erick Iriarte Ahon, Abogado especialista en derecho digital

Socio Principal de Iriarte & Asociados, CEO de eBIZ Latin

Total
8
Shares
Agregue un comentario

Su dirección de correo no se hará público.

Post previo
Presentan moción de censura contra el ministro del Interior, Dimitri Senmache, por fuga de Juan Silva

Presentan moción de censura contra el ministro del Interior, Dimitri Senmache, por fuga de Juan Silva

Post siguiente
Agricultores evaluarán este domingo 26 iniciar paro nacional ante crisis de fertilizantes

Conveagro: agricultores evaluarán este domingo 26 iniciar paro nacional ante crisis de fertilizantes

Related Posts