Contacto@ciberlegal.cl
+569 8419 1661
Hoy en día, la filtración de datos es una de las mayores preocupaciones del mercado, de hecho, LinkedIN sufrió la aparente fuga de 500 millones de perfiles de sus usuarios. Considerando sólo este ataque y el sufrido por Facebook hace unas semanas, llegamos a la no despreciable cifra de 1.000 millones de datos filtrados (sí, leyó bien, MIL MILLONES). Para tener claro lo que dicha cifra significa, implicaría que cada chileno sufriera una filtración de datos 58 veces o que, toda la población de Sudamérica sufriera la filtración de datos 2 veces, aproximadamente.
Tales hechos, necesariamente nos hacen meditar sobre las reales opciones que tienen empresas de realizar una adecuada defensa a estos ataques. Muchas veces, un ciberataque podrá tener como objetivo la “simple” filtración de los datos, pero también puede conllevar, el pago de una recompensa a cambio de la liberación de tales datos ya sea porque se encriptaron por parte del ciberdelincuente o amenaza con destruirlos. Ahí, obviamente, las empresas podrían llegar a sufrir indisponibilidad de sus servicios, sanciones por los supervigilantes y, la más importante en estos días, daño reputacional que es muy difícil de recuperar.
Entonces, ¿cómo podremos estar preparados para algo que en ojos de una micro o mediana empresa (inclusive las grandes) parece inevitable? La realidad es que lo realmente importante es el manejo adecuado que realicemos del riesgo. Esto puede ejemplificarse de la siguiente forma. Durante años las empresas invierten (voluntariamente o por exigencias legales) en sistemas para prevenir incendios en sus instalaciones, entre ellas existen medidas más efectivas que otras y, como es lógico, a las empresas de mayor tamaño se les exige estándares más altos que a los pequeños comercios, pero de todas formas grandes y pequeños deben tener alguna capacidad de mitigar ese riesgo de ocurrir un amago de incendio (por ejemplo, extintores, splinkers, muros con pintura retardante, entre otros). En la Seguridad de la información y ciberseguridad, ocurre lo mismo, pero con matices que nos deben preocupar y, por cierto, ocupar. La primera de ellas es que el fuego ha sido nuestro riesgo por miles de años, los gobiernos, las industrias y las personas reconocen y legislan reconociendo su peligrosidad. Cuando somos niños nos enseñan a no acercarnos, a tener cuidado cuando lo prendemos y a conocer los bienes que son más inflamables que otros. En la Seguridad de la Información y la Ciberseguridad, por el contrario, no tenemos tantos años de experiencia, no todas las industrias tienen una normativa expresa y el aparato estatal (particularmente el de Chile -Gobierno y Legisladores) han sido reactivos en la modernización de leyes y creación de una orgánica institucional sólida.
Desde la perspectiva de los usuarios, aun cuando se reconoce el riesgo por la mayoría de las personas, sigue existiendo un peligroso relajo en cuanto a qué datos entrego, a quién se los entrego y cómo dicho ente los protegerá. Es importante comenzar campañas de culturización que generen personas más preocupadas por su información y atentas a quién entregan sus datos. Es en este punto en donde las empresas pueden generar un nuevo valor agregado. La Responsabilidad Social Empresarial también debería incluir temas de tecnología. ¿Qué mejor forma de reducir el riesgo que tener clientes más preocupados y capacitados? Eso se traduciría en un autocuidado por parte del cliente final, inducido en materias de riesgo por parte de la propia empresa, lo cual generará obviamente, un valor agregado y aprecio por la empresa que se preocupó por él.
Cada institución debe enfocarse en reducir el riesgo, es cierto, los ciberataques siempre serán mayores a las capacidades que podemos llegar a tener con recursos limitados, las empresas tienen una obligación de medios más que dé resultados en este caso, por lo cual las energías deben estar enfocadas en invertir de la mejor forma para que ella se vea reducida. Además, ser conscientes de las consecuencias de un evento de esa naturaleza y que también debemos prepararnos para poder gestionar de mejor forma los incidentes en sus tres miradas; antes, durante el ataque y luego del mismo. Seguramente mientras lee estará preguntándose si su institución práctica estos planes, si todos los de la organización han sido capacitados y qué nivel de resguardo ha tomado con la información de sus clientes…
Al igual que el fuego, tenemos que comprender que siempre será un riesgo, pero con educación, planes y resguardos activos se puede reducir, y -de llegar a ocurrir- estaremos preparados para hacer frente al mismo (¿sabe a quién llamar si se ve sobrepasado? -el símil de los bomberos-, preguntas que, en la Era Industrial 4.0, deben tener respuesta.