La urgencia de la ciberseguridad en los directorios. Por María Cristina Betancour

Economista especialista en minería

Los avances tecnológicos imponen una necesidad de proteger a las instituciones y sus trabajadores de los efectos de los ataques de ciberseguridad. Y esta necesidad debe venir desde el más alto nivel de la institución o compañías: su directorio. El costo de invertir en infraestructura cibernética definitivamente será inferior al costo de ser atacado y no contar con la preparación necesaria.


Cuáles son los riesgos en el mundo. La aceleración tecnológica del mundo, profundizada a partir de la pandemia, dio paso a la inseguridad cibernética como un riesgo de corto y largo plazo. De hecho, uno de los diez principales riesgos tecnológicos globales identificados por el World Economic Forum (WEF) para este año 2024 es la inseguridad informática. Ella es definida como el uso de armas o herramientas para llevar a cabo una guerra cibernética, ciberespionaje o ciberdelitos para controlar medios digitales o causar interrupciones operacionales.

Un riesgo global se define como la posibilidad de ocurrencia de un evento que, de ocurrir, impactaría significativamente el PIB, la población o los recursos naturales mundiales. Estos riesgos son identificados a través de una encuesta realizada a más de 1.500 expertos, que incluyen la academia, los sectores público y privado, la sociedad civil y la comunidad internacional.

A pesar de la preocupación que el WEF manifiesta, en general, en Chile, es un tema que está un poco alejado de los directorios. En reciente encuesta del Instituto de Directores de Chile (IdDC), solo un 30% de la alta gerencia informa regularmente a sus respectivos directorios sobre las métricas relacionadas a las amenazas cibernéticas emergentes. En relación a los presupuestos asignados, solo un 10% de los directorios cuenta con un presupuesto estratégico de seguridad priorizado por un Business Impact Analysis (BIA) de la organización.

Llama la atención lo alejados que, según la encuesta del IdDC, están los directorios de los temas de ciberseguridad, considerando que hay evidencia de que este tema se relaciona con el crecimiento de los ingresos de las compañías. De acuerdo a lo señalado por Accenture, aquellas organizaciones que alinean sus programas de ciberseguridad a sus objetivos de negocios tienen un 18% más de probabilidades de aumentar su capacidad para impulsar el crecimiento de los ingresos, su participación de mercado y mejorar la satisfacción del cliente, la confianza y la productividad de los empleados.

Y la preocupación debería abarcar toda la cadena de valor de las compañías, ya que las amenazas se visualizan a lo largo de ella. Ello es particularmente importante en el caso de los sectores de actividad económica sensibles tales como el sector público, financiero y otros que han sido cubiertos en la Ley Marco de Ciberseguridad, promulgada recientemente y que obliga a las instituciones de sectores definidos como infraestructura crítica a adoptar medidas para prevenir, reportar y resolver incidentes de ciberseguridad.

Ciberataques en minería. En el caso de la minería, aunque no ha sido declarada una de las actividades de infraestructura crítica por dicha ley, su importancia es clave al ser uno de los sectores con mayor aporte al PIB (superior al 10%) y a las exportaciones (aproximadamente un 60%). Esto es, una paralización de este sector tendría importantes costos para la economía del país. Ejemplos de ataques cibernéticos ya existen, tanto en Chile como en otras jurisdicciones mineras. En noviembre recién pasado ocurrió un ataque en la división Gabriela Mistral, de Codelco, que afectó a camiones autónomos e implicó una suspensión de actividades por aproximadamente 72 horas. Otros casos han ocurrido en Canadá y Australia.

Si bien una suspensión de actividades es un costo económico importante para una faena, lo más preocupante debería ser si ello afectara la seguridad de los trabajadores. Esto se hace más importante aún toda vez que la seguridad en minería es un valor y una preocupación permanente, no solo a nivel nacional sino también internacional. De hecho, existe un importante compromiso de las compañías con una cultura de cero fatalidades, realizado a través de ICMM, que es el gremio minero internacional.

Dados los niveles de tecnologización y los efectos descritos, los ataques solo pueden aumentar en el tiempo.  Por ello, es importante trabajar en la resiliencia en ciberseguridad, al menos, en dos niveles. El primero, teniendo todos los protocolos correspondientes en las empresas, las que siempre pueden ser objeto de ataques.

La forma de protegerse es a través de los respaldos y protocolos correspondientes respecto a cómo actuar. El segundo nivel es que se requiere de una solución sistémica, la existencia de una cultura de ciberseguridad a lo largo de toda la cadena de valor; todo el ecosistema debe estar preparado para un ataque, que puede provenir de cualquier parte de dicha cadena.

En efecto, en el caso de la minería, al contar con aproximadamente 9.000 empresas proveedoras, la colaboración entre las compañías, sus proveedores, los aseguradores y la regulación es esencial para construir un ecosistema de ciberseguridad. Por ello es destacable la Corporación de Ciberseguridad Minera, esfuerzo público – privado recientemente articulado por la Corporación Alta Ley y apoyada por el Ministerio de Minería. Cabe destacar que la regulación se percibe como un método eficiente para reducir los riesgos.

Como ha sido destacado por el WEF, hay una relación clara entre el involucramiento de los CEOs y la resiliencia mostrada por las respectivas empresas. De hecho, el 93% de las organizaciones consideradas líderes e innovadoras en resiliencia cibernética, encuestadas por el WEF, tienen a su CEO como vocero en este tema.

De las organizaciones que no son ciberresilientes, solo el 23% confía en la capacidad de su CEO para hablar sobre el tema. Así, y como se visualiza desde la minería en los temas de seguridad minera, mientras a más alto nivel exista el compromiso con la ciberseguridad, mejores resultados en términos de resiliencia.  Esto es, los directorios son los encargados de que haya una visión, una cultura de ciberseguridad en toda la organización, mientras la administración debería encargarse de la protección a nivel de operación.

En resumen, los avances tecnológicos imponen una necesidad de proteger a las instituciones y sus trabajadores de los efectos de los ataques de ciberseguridad. Y esta necesidad debe venir desde el más alto nivel de la institución o compañías: su directorio. El costo de invertir en infraestructura cibernética definitivamente será inferior al costo de ser atacado y no contar con la preparación necesaria.

 

Para leer más columnas de María Cristina Betancour en Ex-Ante Pinche aquí

 

Publicaciones relacionadas

Conduce Catalina Edwards

Abril 18, 2024

Investing [E86] – Paula Meléndez: excelencia laboral y compromiso con los colaboradores

Canva.

En un nuevo After Office: Investing, Catalina Edwards conversa con la vicepresidenta ejecutiva de Personas del Banco Santander para analizar el rol de la institución en la industria financiera, con énfasis en sus condiciones laborales certificadas por Top Employer, además de profundizar en las transformaciones que ha implicado este tipo de prácticas.

Socio de Consultoría en Personas de EY Chile

Abril 18, 2024

Ley de 40 Horas y sus desafíos interpretativos. Por Juan Andrés Perry

La ley de reducción de jornada de trabajo, al igual que la ley de trabajo a distancia y teletrabajo, y la ley de conciliación vida personal, trabajo y familia, atiende a nuevas figuras de organización del trabajo y de adaptabilidad en la prestación de servicios. Son normas que han permitido una mayor inserción laboral y […]

Conduce Catalina Edwards

Abril 17, 2024

Investing [E85] José Manuel Silva: Vulnerabilidad económica en el contexto internacional

Canva.

En este episodio, Catalina Edwards conversa con el director de inversiones de Larraín Vial Asset Management, José Manuel Silva, sobre la situación económica y lo expuesto que está el mundo a un escenario geopolítico cada vez más incierto.

Director ejecutivo del Consejo de Políticas de Infraestructura (CPI)

Abril 17, 2024

Revalorizar las concesiones. Por Carlos Cruz

Es necesario demostrar que las rentabilidades asociadas a las concesiones en su ciclo de vida se encuentran dentro de un rango absolutamente normal para inversiones de grandes dimensiones que se diseñaron a fines del siglo pasado cuando en el país imperaban riesgos muy superiores a los actuales.

Investigador del Centro de Estudios Públicos (CEP)

Abril 16, 2024

Necesidad de ajustes a la medición de la evasión. Por Gabriel Ugarte

El incumplimiento tributario debe ser combatido sin importar su magnitud. Sin embargo, solo al contar con cifras precisas y consensuadas sobre la evasión fiscal, podremos establecer metas realistas y diseñar políticas efectivas para reducirla.