Chile: La madurez en ciberseguridad que no se refleja en los números

Hace algunos días atrás fue noticia en el nicho de especialistas y profesionales de la ciberseguridad la caída de Chile en el ranking de la NCSI (National Cyber Security Index), un índice global de la materia.

La noticia hablaba de “preocupantes resultados”, señalando que, de acuerdo con este indicador, nuestro país que siempre ostentaba posiciones de liderazgo regional ahora se encontraba por debajo de países como Paraguay, Argentina y Perú.

No fueron pocas las personas que asumieron que la sentencia por el ranking era el reflejo de una realidad evidente, y más de alguno dijo “yo lo advertí”, para autoproclamarse como el profeta que anticipó esta “debacle”.

Poco duró la catastrófica sugestión. Con el correr de las horas y los días, varios repararon que el suministro de información para alimentar la posición de nuestro país en el ranking se había detenido en 2020, ¿Porque pasó? aunque sabroso, no será motivo de esta columna ya que podría herir susceptibilidades de amigos.  

Dicen que todas las comparaciones son odiosas, pero disiento abiertamente de los resultados de este ranking. Tengo la opinión que nuestro país ha mejorado mucho respecto a la realidad que teníamos hace 6 años atrás, cuando dos incidentes afectaron al sector financiero, con una fuerza que remeció la conciencia del gobierno y de las organizaciones chilenas.

Aprendimos del rigor y comenzamos a actuar para enfrentar este desafío. La Política Nacional de Ciberseguridad del 2017 se convirtió en la columna vertebral de ese proceso y fue apoyada por los sucesivos gobiernos hasta el día de hoy, a la espera de la aprobación de la segunda versión de la misma y que debe regir para los próximos cinco años.

Entre sus resultados más positivos está la promulgación de la ley de delitos informáticos y los proyectos de ley marco de ciberseguridad, que podría ser una realidad este año o a inicios del próximo, y la ley de protección de datos personales.

Pero más importante aún es, que muchas organizaciones que no tenían infraestructuras para enfrentar incidentes de ciberseguridad a nivel de organizaciones tomaron el modelo de gestión incubado por el CSIRT de Gobierno, para adaptarlo a la realidad de sus negocios.

Hoy hay varios CSIRT entre los sectores regulados, los que además cuentan con normas técnicas que fueron impulsadas desde la mesa de trabajo del Comité Interministerial de Ciberseguridad y que han colaborado para definir gobernanzas de cada sector.

Pero además, muchas organizaciones, especialmente las de gran tamaño, saben que en el mediano plazo deberán adaptarse a las nuevas regulaciones y legislaciones, y por lo mismo se están anticipando en adoptar modelos de gobernanza y resiliencia que incorporan la ciberseguridad.

Fuera de eso, los líderes de las industrias están asumiendo que la ciberseguridad dejó de ser un tema de tecnologías para convertirse en un pilar de la estrategia de los negocios. Todos los días la realidad de que estamos inundados de dispositivos que aumentan la superficie de riesgos de las empresas está golpeando a la puerta de sus organizaciones, incluso para aquellos que son más reacios a la idea que el mundo OT y TI pueden vivir separados, se dan cuenta que las actualizaciones de sus tecnologías que son fundamentales para mejorar su competitividad  involucran a la internet industrial (IIoT) y que la inteligencia artificial es una realidad incontrastable y que necesita gobernanza.

Y fuera de todo eso, la concientización está aumentando entre las personas. Primero entre las organizaciones y luego, entre la población.

Hace poco, en entrevistas que realizaban en la calle a varios transeúntes a propósito del cyberday, fue interesante reconocer que algunos -no todos- de los consejos que habitualmente entregamos están empezando a llegar a las personas. Pueden no entender o practicar lo que se les transmite, pero al menos lo están empezando a internalizar.

Pero obvio no todas las acciones son ganadas, nos falta mucho por avanzar. Nos faltan más profesionales, y dentro de ellos, más profesiones mujeres. Se necesitan aplicar más protocolos y auditarlos. Necesitamos más inversión en tecnologías e infraestructuras. Necesitamos más concientización. Y parece que necesitamos que los medios de comunicación entiendan mejor el tema de la ciberseguridad, después de todo, a ellos les toca la responsabilidad de informar sobre los incidentes cuando estos ocurren y cuando nos puedan afectar como país.

Es cierto que en este camino hemos perdido más batallas de las que hubiésemos querido. No son pocos los incidentes emblemáticos que hemos tenido que sufrir en el sistema bancario, en el poder judicial y hasta en la defensa nacional, y varios otros que han pasado desapercibidos pero han ocurrido y han dolido a sus organizaciones y las personas que confían en ellas.

A pesar de todos los incidentes y rankings, creo que el avance en materia de ciberseguridad en estos últimos seis años ha sido notable para el país y estoy convencida que Chile tiene todas las capacidades para considerarse uno de los países líderes en la región, aunque el indicador falle en percibirlo.

Los datos son fundamentales para tomar decisiones, pero necesitan análisis, contexto y una comprensión más acabada en la materia sobre la que tratan. Chile está mejor en ciberseguridad, de eso no tengo duda. Pero también reconozco que si el resultado de la evaluación hubiera sido positivo nos estaríamos jactando que somos los jaguares de latinoamérica en ciberseguridad.