La ciberseguridad en la disrupción digital
Desafíos para su gobernanza

Desde un punto de vista jurídico, podemos entender la ciberseguridad como un conjunto de reglas que protegen los bienes y las personas (incluyendo a organizaciones y Estados) contra ataques que pudieran recibir mediante el uso de diversas tecnologías. Así, siendo una noción vasta, la ciberseguridad no debería limitarse a la previsión en el uso de mecanismos de seguridad de los sistemas informáticos.

En el entendido que el “riesgo-cero” no existe, un responsable en ciberseguridad deberá ser capaz no sólo de evaluar y anticipar riesgos que acarreen un impacto financiero u organizacional relevante sino de intervenir en la gestión de crisis, de manera que la ciberseguridad pasa a ser parte de la cadena de valor digital de toda organización.

Hacia un Gobierno de Ciberseguridad

Si bien las actuales exigencias del mercado han impuesto a los responsables en ciberseguridad nuevos retos y riesgos inherentes a las tecnologías emergentes, es fundamental que toda organización inserte en sus políticas corporativas, lineamientos de un gobierno de ciberseguridad.

Cabe entonces interrogarnos si los Directorios y Gerencias Generales tienen entre sus prioridades y planes de inversión el diseño e impulso de estrategias de seguridad, que contemplen el monitoreo de la vulnerabilidad de las infraestructuras existentes y una ágil capacidad de reacción para asegurar la continuidad de la operación de la compañía ante la ocurrencia de incidencias no deseadas.

Lo anterior sólo puede ser alcanzado si la compañía cuenta con una estrategia para gestionar de forma transversal los ciber-riesgos, mediante la detección anticipada de elementos vulnerables y una sólida capacidad de recuperación en las operaciones, activos y procesos claves más sensibles y por tanto sujetos a una protección reforzada.

No debemos perder de vista que un ciberataque puede tener un gran impacto en la reputación, operación y sobre la protección de datos estratégicos de una organización y de sus clientes, de manera que –en sentido positivo- una correcta gestión de la ciberseguridad fortalece la confianza del cliente en la marca, y por tanto aporta valor estratégico a la organización.

¿Qué hacer frente a las ciberamenazas?

Entre los diversos mecanismos que permiten responder a las ciberamenazas, un primer paso consiste en la necesidad de sensibilizar a todos los equipos en la organización sobre el uso responsable de internet y de las herramientas informáticas puestos a su disposición, además de:

• Definir un programa de ciberseguridad, que precise qué hacer en el caso de amenazas o vulneraciones

• Establecer la estructura de gobernanza, con una correcta definición sobre quienes integran el equipo de ciberseguridad (no necesariamente conformado sólo por profesionales de TI)

• Definir el marco contractual y técnico de protección y las auditorías a exigir a los proveedores de servicios en la nube, a la transferencia de datos y a la externalización de servicios sensibles.

Dado que el Perú aún carece de un marco normativo[1] que regule la ciberseguridad, cabría preguntarse sobre cómo deberíamos proceder ante un ciberataque que conlleve la sustracción de datos personales de nuestros clientes. ¿Debemos informar a dichos clientes o a la Autoridad Nacional de Protección de Datos Personales sobre esa sustracción?

En el caso de ciertas entidades definidas como operadores o prestadores de servicios públicos (electricidad o agua, bancos, operadores de telefonía, entre otros), cuya afectación podría impactar en el funcionamiento de la sociedad y de la economía, ¿cabría exigirles un nivel de protección reforzado?

A falta de dicho marco normativo, tendremos que recurrir a una autorregulación, cuya suficiencia de cara a los nuevos desafíos que enfrentamos merece ser ampliamente debatida.

[1] En una próxima entrega analizaremos los alcances del Proyecto de Ley N° 4237/2018, “Proyecto de ley que promueve la seguridad informática en el Perú y la conformación de un Consejo Nacional de Ciberseguridad” y del Proyecto de Ley N° 4228/2018, “Proyecto de Ley de Ciberdefensa”, recientemente puestos en debate en el Congreso de la República.