Con su publicación en el Diario Oficial, el 20 de junio de 2022 entró en vigencia la Ley 21.459 que moderniza la normativa sobre delitos informáticos, definiendo ocho tipos de ilícitos y sus respectivas penas asociadas.
No es novedad que la digitalización de los procesos en la mayoría de las industrias se aceleró con la pandemia, y si bien la minería ha sido una de las más destacadas, ha debido enfrentar importantes desafíos, sobre todo por su relevancia en el desarrollo económico del país. En este marco, es que el sector minero debe proteger la información y resguardar el desempeño de la faena en el marco de los delitos informáticos.
Delitos informáticos y la actualización de la ley
“La ciberseguridad debería ser un tema de alta preocupación para las mineras en Chile. Es fundamental que las empresas verifiquen con qué capacidad pueden responder ante las posibles amenazas, ya que contar con mecanismos de protección adecuados evitará crisis mayores, como la paralización de la operación o poner en peligro a las y los trabajadores”, indica Fabien Spychiger, CEO de Dreamlab Latinoamérica.
En este contexto, Dreamlab Technologies, empresa suiza líder a nivel mundial en la protección de infraestructura y sistemas tecnológicos críticos para la sociedad, cuyo objetivo es promover una cultura de ciberseguridad y permitir una minería segura, entrega algunas recomendaciones para enfrentar posibles ciberataques y estar atentos a esta actualización de ley de delitos informáticos:
-
Implementar una estrategia de ciberseguridad. Esta debe ser un habilitador de negocio, y para lograr que sea exitosa todos en la compañía deben estar convencidos de la necesidad de inversión en ciberseguridad (entre el 10% y 15 % del presupuesto TI ), ya que es el pilar fundamental para una transformación digital segura y un negocio sustentable a largo plazo. Permitirá seguir creciendo, evitar incidentes, ser resiliente y cumplir con futuras normativas.
-
Actualizar y parchar el software y la tecnología. La gestión de vulnerabilidades es más que recibir alertas cada vez que su infraestructura necesita la aplicación de un parche. La gestión de vulnerabilidades se trata de tomar decisiones informadas y priorizar adecuadamente cuáles mitigar y cómo. Esto se logra incorporando enlaces internos para telemetría en todos los sistemas de interés, así como enlaces externos para inteligencia de amenazas de todas las fuentes.
-
Tener un plan de respuesta ante incidentes. Las mineras deben conocer cuál es el impacto que podría producir un ciberataque, advertir cuáles son sus activos más críticos y los procesos de negocios que requieren mayor protección. Sobre todo, porque en la mayoría de los casos, la rápida respuesta determinará el impacto del incidente. Por ello, es fundamental disponer de las herramientas necesarias y establecer los procesos para su correcta gestión.
-
Capacitar a los colaboradores por medio de educación continua. La seguridad comienza por nuestros trabajadores, y una buena concientización es aquella que despierta una necesidad en el usuario, cuando éste comprende que las recomendaciones de buenas prácticas son tan efectivas tanto en lo personal como en lo corporativo para estar al tanto de esta ley de delitos informáticos. Los planes integrales de simulación y concientización sitúan al trabajador como una pieza esencial en la continuidad del negocio.
-
Realizar simulacros. Una forma bastante efectiva para saber si la compañía está preparada, es realizar ejercicios de simulación controlados, cercano a lo que eventualmente podría suceder con un ciberataque, dando a conocer cuáles son las brechas de seguridad que tendría que tomar en cuenta la organización para prevenir que las amenazas reales se materialicen.
-
Contar con gestión del riesgo y gobierno de la seguridad, bajo el cual se pueda desarrollar la capacidad de identificar y detectar los comportamientos anormales a nivel de las redes y los sistemas informáticos.
-
Activar rápidamente el plan de respuesta ante incidentes en caso de identificar una sospecha o compromiso. De no contar con una estrategia, al menos tener un equipo previamente definido. Lo primordial es tener especialistas que identifiquen el vector de ataque, reconocer el alcance y establecer medidas mitigatorias rápidamente.
“Es vital contar con un acompañamiento profesional en distintos ámbitos, que permita identificar a tiempo las debilidades y posibles amenazas”, concluye Spychiger.