La experta y consultora en ITQ Latam, advierte que muchas organizaciones cumplen solo lo mínimo requerido y no visualizan aún el impacto de una brecha de seguridad en su reputación y continuidad operativa
La Ley Marco de Ciberseguridad es, sin duda, un paso relevante para Chile en materia de transformación digital y protección de activos críticos. Sin embargo, la realidad evidencia que muchas empresas, especialmente en sectores estratégicos, aún no internalizan esta materia como parte estructural de su gobernanza.
Así lo sostiene Belkys Cabrera, consultora en Ciberseguridad y Sistemas de Gestión en ITQ Latam, quien conversó con Poderyliderazgo.cl para analizar el estado de avance en el cumplimiento de la nueva normativa.
De esta forma, en primera instancia la experta resalta que “Las organizaciones deben enfocarse en fortalecer su gobernanza de ciberseguridad, implementar procesos de gestión de riesgos, detección y respuesta ante incidentes, y asegurar la continuidad operativa”.
En materia de infraestructura crítica, ¿están preparadas las empresas chilenas en apego a la nueva ley de ciberseguridad?
“Si bien se han realizado avances, muchas empresas aún no están plenamente preparadas para cumplir con todas las exigencias de la nueva Ley Marco de Ciberseguridad. La principal brecha sigue siendo cultural, porque la alta dirección en muchas organizaciones aún no asume la ciberseguridad como un objetivo estratégico de negocio, lo que limita la asignación de recursos y la toma de decisiones oportunas en esta materia”.
¿Cuáles son los sectores mejor preparados?
“El sector financiero y bancario ha mostrado un mayor grado de preparación, principalmente, porque ha estado históricamente regulado por organismos como la Comisión para el Mercado Financiero (CMF), que exige marcos de control orientados a la continuidad operativa, la seguridad y la privacidad de la información”.
“También, el sector energético ha avanzado, por su rol crítico en el país. Sin embargo, en ambos sectores, estos avances responden más a la presión regulatoria que a una verdadera convicción estratégica desde la alta dirección, que, como dije, aún no incorpora la ciberseguridad como un eje estructural del negocio”.
¿Cuáles son los principales aspectos en que deben enfocarse las empresas para el cumplimiento de la ley?
“Las organizaciones deben enfocarse en fortalecer su gobernanza de ciberseguridad, implementar procesos de gestión de riesgos, detección y respuesta ante incidentes, y asegurar la continuidad operativa”
“Pero nada de esto será efectivo si no parte desde una decisión clara de la alta dirección, que aún en muchos casos no ha internalizado que la ciberseguridad es una responsabilidad estratégica y no solo técnica”.
Dentro de las nuevas exigencias de la ley, ¿qué es lo más fácil y lo más difícil de cumplir?
“Lo más fácil de cumplir suele ser la formalización documental: nombrar responsables, actualizar políticas o generar procedimientos, crear la gobernanza. Lo más complejo es consolidar capacidades de monitoreo continuo, realizar pruebas técnicas avanzadas y controlar el riesgo en la cadena de suministro”.
“Estos desafíos requieren una inversión sostenida y liderazgo desde la alta dirección, que muchas veces aún no visualiza el impacto real de una brecha de ciberseguridad en su continuidad operativa y reputación”.
