El recién terminado 2018 indiscutiblemente será recordado como el año de la ciberseguridad en Chile. No solo se produjo el primer gran ciberataque del que se tiene registro en el país luego de que hackers de Corea del Norte le robaron unos US$ 10 millones a Banco de Chile, también ocurrieron filtraciones que afectaron a miles de tarjetas de crédito y, cuando el año ya parecía finalizar, Banco Consorcio sufrió un ciberataque donde le sustrajeron casi US$ 2 millones.
Pero el país no se quedó de brazos cruzados. En los últimos seis meses los reguladores y el gobierno realizaron al menos seis acciones, destaca Cristián Ocaña, presidente de la Alianza Chilena de Ciberseguridad: un proyecto de ley sobre delitos informáticos, reconocimiento de la protección de datos personales como garantía constitucional, avance en la tramitación del proyecto de ley que modifica la ley de datos personales, actualización de la normativa de ciberseguridad por parte de la Superintendencia de Bancos, aprobación de la ley que declara octubre como el mes de la ciberseguridad, avances en la implementación de la Política Nacional de Ciberseguridad con el nombramiento de un asesor presidencial, y la promulgación de un instructivo presidencial para la regulación de ciberseguridad en el sector público.
Pero así como hubo avances, también quedan desafíos pendientes, y las autoridades lo tienen claro.
"Las metas apuntan fundamentalmente a seguir impulsando el involucramiento de los gobiernos corporativos de las instituciones financieras en la ciberseguridad, porque considero que la experiencia muestra que las instituciones que mejor se preparan y más rápido se recuperan son aquellas en donde es la alta administración la que transmite un mensaje claro", comenta el superintendente de Bancos, Mario Farren.
Es más, Farren adelanta que en los próximos días pondrán en consulta una nueva normativa marco sobre seguridad de la información, pero también están preparando otras medidas para elevar los estándares en seguridad de canales digitales y tarjetas. "Esto, adicionalmente a la creación del Departamento de Ciberseguridad que se implementará en 2019", cuenta.
En tanto, en la Superintendencia de Pensiones también han estado trabajando activamente para mejorar los estándares de seguridad en la industria. Desde la entidad detallan que a lo largo de este 2018 han realizado evaluaciones a las entidades fiscalizadas, desarrolló un seminario para las AFP y AFC sobre la materia, y han incrementado sus acciones orientadas a sensibilizar a la industria respecto de la relevancia de estas materias.
¿Las metas para 2019? "Se encuentra aplicando su Modelo de Gestión Basado en Riesgos y, de acuerdo a los resultados de este, determinará los alcances de las supervisiones en relación con la exposición al riesgo de cada regulado", señaló la entidad.
En relación con metas específicas, comentan que planificaron hacer una evaluación transversal en la industria en cuanto a los temas de seguridad, "llevar a cabo un proceso de revisión de la normativa vigente y, si corresponde, eventualmente actualizar dichas normas", agregó la institución que lidera Osvaldo Macías.
Pero no solo los reguladores han avanzado, también lo ha hecho la industria financiera. El superintendente de Bancos señala que "la industria gradualmente ha ido tomando conciencia de la relevancia de los riesgos operacionales y ciberseguridad y está elevando sus estándares".
Por su parte, la Superintendencia de Pensiones destaca que las AFP, luego de los eventos del año pasado, han evaluado sus sistemas de prevención en materia de ciberseguridad, adoptando también criterios de riesgo para reforzar sus medidas en esa dirección. "El desafío para las administradoras es lograr que sus estructuras de controles sean lo suficientemente robustas para detectar ataques a tiempo y mitigar adecuadamente los riesgos de seguridad de la información", señalan.
Con todo, LarrainVial comenta que en el último año se han esforzado para estar a la vanguardia con las mejores prácticas y herramientas para proteger la información y el patrimonio de sus clientes y de la compañía. "En base a esto, nos hemos enfocado en reestructurar y redefinir nuestras políticas internas y prácticas de resiliencia organizacional con foco en seguridad de información, ciberseguridad y continuidad del negocio, ocupándonos de los procesos que apoyen en la identificación de nuevos riesgos y amenazas con el fin de proteger la tecnología e información de nuestros clientes", apuntan.
En paralelo a las iniciativas que están impulsando los reguladores del sector financiero y la industria, el gobierno se prepara para enviar un proyecto al Congreso que mejore los estándares de ciberseguridad a nivel de la industria financiera, así como la definición de la infraestructura crítica y el modo en que se resguardará. Para redactar estas iniciativas, el Ejecutivo considerará el diagnóstico que realizó el Fondo Monetario Internacional (FMI).
Para Hugo Galilea, CEO de Kepler, "los delincuentes informáticos están atacando hoy países que se encuentran más desprotegidos, tanto por baja inversión como por legislación desactualizada, por lo que hay que avanzar en dos frentes, invertir en ciberseguridad, actualizar leyes sobre delitos informáticos y protección de datos personales".