En la actualidad, la seguridad de la información es uno de los atributos clave para el cumplimiento de los objetivos de una organización. La ciberseguridad, a su vez, es una acción táctica a cargo de los equipos de tecnología de la información, pues alrededor del 98% del conjunto de datos necesarios para la toma de decisiones, se encuentra en las plataformas tecnológicas que usan las empresas.
En Syntesys conversamos al respecto con Andrés Restrepo, Director de Consultoría de Información y Tecnología en Xapiens International Group, empresa aliada nuestra en seguridad de la información y ciberseguridad.
Para empezar, podemos afirmar que cualquiera que sea la industria a la que pertenezca tu compañía o el tamaño que tenga, es importante que identifiques en qué nivel se encuentra la seguridad de la información y de qué manera puede apoyar la ciberseguridad la prevención de riesgos reputacionales, de responsabilidad civil, económicos y jurídicos, entre otros, que impactan la credibilidad del mercado, la confianza de tus clientes y el relacionamiento con tus diferentes grupos de interés.
¿Cuál es realmente el objetivo de la ciberseguridad?
La ciberseguridad es, justamente, la práctica de proteger equipos, redes, aplicaciones de software, sistemas críticos e información del negocio ante la posible pérdida de atributos de la información: integridad, confidencialidad y disponibilidad. Es responsabilidad de las organizaciones proteger estos atributos de sus activos de información, para cumplir la normatividad, y más allá de eso, mantener la confianza de sus grupos de interés.
Lograrlo, requiere la implementación de sistemas de gestión de seguridad de información que afecten de manera positiva los procesos, las personas que intervienen en ellos y la tecnología que los soporta, con el fin de tener controlada la exposición a cualquier riesgo que pueda vulnerarlos.
En este punto, cabe anotar que un sistema de información frágil, sin controles de acceso fuertes, con equipos obsoletos, mal administrados, configurados de manera deficiente y ligera, o que no cuentan con el mantenimiento adecuado, puede poner en jaque incluso la seguridad física de las empresas.
¿Qué tan conscientes son las empresas del adecuado manejo de sus activos de información, cuando muchas veces son procesados en plataformas tecnológicas que no cumplen con estándares de seguridad óptimos?, ¿qué tan preparados están los colaboradores para administrar de manera segura las plataformas tecnológicas donde están alojados los activos de información?. Estas son algunas de las preguntas que nos deja Andrés Restrepo, con el fin de revisar con lupa este tema en las organizaciones.
Por eso es importante hacer un mapa de riesgos y un análisis de brecha entre la protección esperada para los activos de información y lo que tenemos implementado, con el fin de decidir si aceptamos los riesgos, trabajamos sobre ellos, los eliminamos o los transferimos vía seguros.
Legislación que regula la ciberseguridad en Colombia
Las empresas de sectores como energía, transporte, logística, comercio al detalle y manufactura, entre otros, en regiones específicas, están obligados a cumplir con los requisitos normativos para proteger los datos confidenciales frente a posibles riesgos cibernéticos. En Europa, por ejemplo, se rigen por el Reglamento General de Protección de Datos (GDPR), que exige a las organizaciones adoptar medidas de ciberseguridad adecuadas para garantizar la privacidad de los datos.
“Desde Syntesys y Xapiens queremos llamar la atención acerca de la privacidad de la información y la vida privada, que son derechos declarados, regulados y protegidos por la legislación colombiana”, afirma Andrés Restrepo.
En Colombia la normativa sobre ciberseguridad se ha fortalecido en los últimos años para hacer frente a los desafíos y riesgos asociados a este tipo de ataques.
Ley de Protección de datos personales
La Ley 1581 de 2012, considerada la principal estrategia nacional de ciberseguridad. Está centrada en la transparencia de las bases de datos y en el derecho del usuario a conocer si su información personal será usada para fines comerciales. Es una de las primeras leyes de este tipo en Latinoamérica y marca un precedente sobre la importancia de la integridad de la información, la transparencia y la gestión del riesgo en el manejo de datos.
Ley 1273 de 2009
Establece normas sobre delitos informáticos en Colombia y define los tipos penales relacionados con el acceso no autorizado a sistemas informáticos, daño y sabotaje informático, uso de software malicioso, entre otros.
Decreto 620 de 2019
Reglamenta la Ley 1273 de 2009 y establece disposiciones específicas sobre la protección de la información y los sistemas de información en el ámbito de las entidades públicas ante amenazas como ataques de denegación de servicios (DDoS), seguridad digital en general, vulnerabilidad de infraestructuras críticas, entre otros temas de seguridad.
Complementa el Decreto 620 de 2019 y establece los lineamientos para la implementación de medidas de seguridad de la información en el sector privado.
Sentencia C-406-22 de noviembre de 2022 de la Corte Constitucional de Colombia
Respecto del acceso de la Policía Nacional de Colombia a sistemas de seguridad privados como cámaras de vigilancia o videograbadoras para acciones de prevención como motivo descrito en la Ley de Seguridad Ciudadana (Ley 2197 de 2022). Sobre esto, la Sala fue enfática en los derechos a la intimidad y el habeas data, incluso en espacios públicos, pero, con mayor razón, en espacios privados. Se debe mantener un grado de garantía de la intimidad personal y familiar, tanto como de los datos sensibles.
Además de estas leyes y regulaciones específicas, existen otras relacionadas con la protección de datos personales, como la Ley Estatutaria 1581 de 2012 y el Decreto 1377 de 2013. Estas normativas establecen disposiciones para la protección de la privacidad y la seguridad de la información personal en la sociedad colombiana que son importantes considerarlas en la definición de políticas de seguridad y ciberdefensa.
En una próxima entrega de En Sytensys hablaremos de los componentes de una estrategia de ciberseguridad, con el fin de presentarles un panorama mucho más claro acerca de sus implicaciones, no solo para los equipos de TI, sino para todas las áreas y procesos relacionados con la administración y uso de datos de los clientes, la gestión financiera, de operaciones y continuidad del negocio. El objetivo siempre será garantizar el mejor servicio cuidando lo más valioso: las personas, su privacidad y su tranquilidad.
