Por Andrés Pumarino, abogado especializado en derecho y Tecnología.
Los ciberataques casi se han duplicado en los últimos años sin signos de desaceleración. Debido al creciente número de incidentes informáticos, hay un cambio de mercado hacia la demanda de innovación tecnológica más segura.
Además, después de grandes ataques cibernéticos como NotPetya y WannaCry se paralizaron algunas empresas de todo el mundo durante semanas. Entomces, el riesgo cibernético se convirtió rápidamente en uno de los factores más importantes a considerar al tomar una decisión ejecutiva sobre la estrategia de la empresa, y hoy el temor se vuelve mayor con la masificación del ransomware como delito.
¿Cuál es el papel de la comunidad inversora para asegurar nuestro futuro digital? Cada vez más, la evaluación del riesgo cibernético de las inversiones objetivo y el seguimiento y mitigación del riesgo cibernético de las empresas, se están convirtiendo en parte del deber de debida diligencia de los inversores. Tienen la oportunidad y el apalancamiento para desplegar capital invertible en la mejora de las capacidades cibernéticas de una empresa de su cartera de inversiones.
Además, los inversionistas tienen la responsabilidad de invertir capital en las empresas. Sabiendo que buscan un rendimiento significativo y que las inversiones responsables en ciberseguridad son componentes clave a largo plazo de empresas viables, también les interesa económicamente fomentar la innovación. Es frecuente ver en los indicadores de sustentabilidad de empresas un capítulo destinado al tema de la ciberseguridad, y hoy muchas empresas en América Latina interesadas en levantar capital en EE.UU. o Europa se encontrarán con el tema de la seguridad de la información y los riesgos asociados.
Este es el nuevo mundo del ecosistema digital que debemos ser capaces de abordar para dar pronta respuesta a los requerimientos que hoy son globales. Nuestro mercado no solo es Chile, sino que el mundo entero y debemos ser capaces de utilizar de manera ágil los diversos acuerdos internacionales que nuestro país ha firmado en los últimos años. Ahora es cuando debemos ser visionarios y ágiles para enfrentar el desafío de encontrar nuevos clientes en el ecosistema digital a nivel global.
Para salir al exterior debemos estar preparados. La vitrina de la empresa es su página web y el activo más valioso que tienen son los datos, pero nuestro país tiene aquí un desafío al no estar nuestra legislación actualizada para el entorno digital global y en especial cuando se tratan datos personales. Como país avanzamos con una nueva Ley de Delitos Informáticos (21.459) desde el año 2022. Este 2023 avanzamos en la reforma a la Ley nº 19.628 sobre protección de datos, quedando muy poco para concluir su discusión en el Congreso.
Ciberataques
Los ciberataques tienen como blanco a pequeñas empresas. Pero lo más fuerte es que más del 60% de las pequeñas empresas no pueden operar después de un ataque, ya que muchas no tienen su información respaldada y pierden mucha energía en procesos e información.
A lo anterior vemos un aumento de exigencias de reguladores (Reglamento de Comercio Electrónico Sernac, Responsabilidad Penal por Delitos Informáticos, Protección de Datos) y otros más que vienen. ¿Cómo se aborda? Un modelo internacional para seguir es el INCIBE – Instituto Nacional de Ciberseguridad en España- que entrega acompañamiento, aportes y experiencias a diversos sectores de la sociedad en ese país, siendo un espacio para compartir experiencias y modelos documentales en diversas áreas necesarias de responder a las necesidades de los reguladores de distintos ámbitos.
Debemos entender que nuestra economía se centra cada vez más en los datos, por lo que la tecnología es la pieza central en este nuevo entorno y las organizaciones deben avanzar en sus planes de seguridad de la información para hacer frente a los riesgos tanto internos como externos. En el caso de aquellos internos, es porque gran parte de los incidentes se producen también por extrabajadores, exsocios, exsubcontratistas, en fin, no podemos dejar atrás la mirada interna en la gestión de la seguridad de la información.
Las cifras de incidentes informáticos en nuestro país van al alza. Los tipos de delitos también reflejan la evolución en el comportamiento de la población durante la pandemia, con un aumento en las transacciones por medios digitales, teletrabajo, actividades académicas y uso de plataformas de streaming y de redes sociales para comunicarse y jugar en línea.
Varias startups no tienen políticas de privacidad o no cumplen con estándares básicos que piden diversos países de la región, en Europeo y Oceanía, por ejemplo. Más de alguna empresa ha sufrido una decepción al querer hacer negocios con Europa y ser consultada por sus políticas de privacidad, si es que está certificada ISO/IEC 27.001 ó 27.701.
Ante la ausencia de un regulador en protección de datos, muchas empresas no se han preparado para hacer frente a los requerimientos que piden a nivel internacional diversas legislaciones, como el Reglamento General Europeo de Protección de Datos y diversas leyes de países latinoamericanos que se han publicado recientemente en materia de protección de datos: Brasil, Ecuador, Panamá y otros que ya tienen un tiempo como Argentina, Perú, Colombia, México y Uruguay.
Las startups tienen un gran desafío para adecuar su compliance interno a las exigencias de la región y de otros continentes, especialmente en la búsqueda por crecer en servicios para la economía digital que estamos viviendo.
Revisa también: Ley Fintech: oportunidad de liderazgo desde Chile al mundo