En un contexto donde la digitalización se expande a un ritmo vertiginoso, las pequeñas y medianas empresas (Pymes) se enfrentan a crecientes desafíos en materia de ciberseguridad. Las nuevas normativas buscan no solo prevenir y mitigar riesgos, sino también promover la resiliencia cibernética de este sector crucial para la economía global.
Con la reciente actualización a la norma ISO/IEC 27001, las empresas están llamadas a adoptar medidas más robustas y proactivas para asegurar sus activos digitales y protegerse contra ciberataques cada vez más sofisticados. Las Pymes son la columna vertebral de las economías locales y globales, representando la principal fuente de empleo y dinamismo económico. Sin embargo, su vulnerabilidad a los ataques cibernéticos es alta debido a recursos limitados y, a menudo, infraestructuras de seguridad menos desarrolladas. La información que manejan es tan valiosa como la de las grandes corporaciones, lo que las convierte en objetivos atractivos para los ciberdelincuentes. Por lo tanto, cerrar las brechas de seguridad y anticiparse a posibles ataques es esencial para su continuidad operativa y crecimiento.
Actualización de la Norma ISO 27001
La norma ISO 27001 es un estándar global que define los requisitos para establecer, mantener y mejorar continuamente un Sistema de Gestión de la Seguridad de la Información (SGSI). Este garantiza la protección de la confidencialidad, integridad y disponibilidad de la información, ofreciendo un marco para gestionar eficazmente los riesgos de seguridad. La norma es aplicable a cualquier tipo de organización, incluyendo Pymes, grandes corporaciones, entidades gubernamentales y organizaciones sin fines de lucro, y es relevante en diversos sectores como tecnología de la información, finanzas, salud y servicios públicos.
La reciente actualización de la norma ISO 27001 introduce medidas de seguridad más robustas y exigentes para gestionar eficazmente los riesgos que pueden comprometer la confidencialidad, integridad y disponibilidad de la información. Entre los cambios más destacados se encuentran la categorización de los controles de seguridad en cuatro temas: controles para personas, físicos, tecnológicos y organizacionales. Además, introduce cinco tipos de atributos para clasificar los controles desde diferentes perspectivas, como el tipo de control (preventivo, detectivo o correctivo), las propiedades de seguridad (confidencialidad, integridad y disponibilidad), conceptos de ciberseguridad (identificar, proteger, detectar, responder y recuperar), capacidades operativas, y dominios de seguridad. Estos avances permiten a las organizaciones filtrar, ordenar y presentar los controles de seguridad de manera más efectiva para diversas audiencias.
Además, introduce prácticas avanzadas como el monitoreo de la dark web (Dark Web Monitoring), que implica una vigilancia constante para detectar posibles amenazas y datos comprometidos. Por otro lado, incluye la gestión de superficie de ataque (Attack Surface Management), la cual se enfoca en la identificación y protección de todos los activos expuestos con el fin de minimizar las oportunidades de ataque. También se ha implementado la protección de riesgos digitales (Digital Risk Protection), desarrollando estrategias para salvaguardar contra una amplia gama de riesgos, desde el robo de identidad hasta la extorsión cibernética.
Zoilijee Quero Yoris, CCO de TecnetOne, subraya la importancia de esta actualización, destacando que la ciberseguridad no debe ser una reacción, sino una estrategia continua de anticipación y cierre de brechas. “La ISO/IEC 27001:2022 asegura que las empresas estén mejor preparadas para los desafíos cibernéticos del presente y del futuro”, afirmó.
La sofisticación de los ataques cibernéticos contra las Pymes está aumentando rápidamente, por eso, es crucial que la ciberseguridad sea una prioridad para todas las empresas, independientemente de su tamaño.
Ley de Ciberseguridad y la Agencia Nacional de Ciberseguridad en Chile
En Chile, se ha promulgado una ley que crea la Agencia Nacional de Ciberseguridad, con el objetivo de estructurar y coordinar acciones de ciberseguridad entre organismos estatales y el sector privado. Esta ley establece requisitos mínimos para prevenir, contener y responder a incidentes de ciberseguridad, definiendo claramente los deberes y sanciones para el incumplimiento.
La Agencia Nacional de Ciberseguridad será un ente descentralizado con la tarea de asesorar al gobierno, coordinar acciones de ciberseguridad y supervisar incidentes a nivel nacional. Entre sus funciones, se incluye la colaboración con equipos de respuesta a incidentes tanto nacionales como internacionales y la educación en materia de ciberseguridad.
La nueva ley establece sanciones para quienes incumplan sus obligaciones en materia de ciberseguridad, clasificando las infracciones en leves, graves y gravísimas. Entre las infracciones graves se incluyen la falta de implementación de protocolos y estándares de ciberseguridad, la entrega tardía o falsa de información requerida, y el incumplimiento de la obligación de reportar incidentes. Las infracciones gravísimas abarcan la entrega de información falsa crítica y el incumplimiento de instrucciones durante la gestión de incidentes significativos. Las multas varían según la gravedad, oscilando entre 5 mil y 40 mil unidades tributarias mensuales, siendo más severas para los operadores de importancia vital.
La actualización de la norma ISO/IEC 27001 y la nueva ley de ciberseguridad chilena representan un paso significativo hacia la protección de las Pymes frente a las amenazas digitales. La adopción de estas normativas no solo mejora la seguridad informática, sino que también fortalece la resiliencia de las empresas, asegurando su capacidad para resistir y recuperarse de ciberataques. Es imperativo que todas las organizaciones prioricen la ciberseguridad en su agenda para salvaguardar su futuro en la era digital.
Fuentes:
https://www.infobae.com/
https://www.diarioconstitucional.cl/
https://www.welivesecurity.com/