Los ciberataques al EMCO y al Poder Judicial, precisamente ad portas del inicio de octubre, declarado oficialmente como el “mes de la Ciberseguridad”, han puesto de relieve la importancia de la gestión de la ciberseguridad en las organizaciones. Tradicionalmente, ello se traducía en más y mejores “fierros”, vale decir, más inversión en medios técnicos, tales como antivirus o firewalls. Sin embargo, ello hoy no resulta para nada suficiente, dado que el más importante vector de entrada de riesgos informáticos somos las personas.
Los datos hablan de la sofisticación de las técnicas de ingeniería social que los ciberdelincuentes explotan como forma de ingresar a la información y activos de las organizaciones que, de acuerdo a recientes estudios de IBM y del BID, han afectado, en al menos una oportunidad, a un 83% de las organizaciones[1], generando daños no sólo a infraestructura física y digital sino que, además, produciendo perjuicios reputacionales, sociales, psicológicos, afectación de derechos de terceros y, por sobre todo, pérdidas económicas a las entidades que, según el estudio, han aumentado significativamente y que, en un 60%, llevaron a aumentos en los precios aplicados a los clientes finales.
Frente a este nuevo escenario, la ciberseguridad debe transformarse en una materia normada, reglada a la medida de las necesidades y características de cada organización, sea ella pública o privada, independiente de su tamaño. Solo mediante el establecimiento de reglas de comportamiento de los miembros de aquella en el ámbito digital, pueden minimizarse los riesgos de afectar la disponibilidad de los sistemas, asegurar la mantención de sus operaciones, proteger la privacidad y confidencialidad de la información propia y la referida a datos personales e incluso datos personales sensibles de sus clientes, por ejemplo, los referidos a información de salud.
Basta un solo evento de ciberataque para que todo el trabajo invertido en el posicionamiento de la imagen de una entidad, pueda verse afectada e incluso destruida; si pensamos por ejemplo en el ataque al Poder Judicial, aún desconociéndose su real alcance, es perfectamente posible, al menos, dudar de la actual autenticidad e integridad de la información contenida en sus bases de datos; entendiendo por ellas, aquel valor de que la información que la ciberseguridad está llamada a velar sobre todo en estas áreas de mayor importancia en la convivencia social.
Si a este escenario, sumamos que en diciembre de 2022, las empresas verán ampliado el ámbito de su responsabilidad criminal, ahora, por la comisión de delitos informáticos perpetrados en el marco de sus actividades, cuando no han implementado normas de control o supervisión adecuadas, el asunto pasa a ser de aquéllos que en los directorios debiera estar primero en la tabla de asuntos por abordar.
La ciberseguridad es hoy un asunto legal. De eso no hay duda.
[1] Cost of Data Breach, IBM Report, 2022.
