Empresas deberán contar con programa de gestión de riesgos de seguridad digital

Habrá gastos significativos para las compañías más pequeñas

Estado ha establecido seis nuevas obligaciones para servicios digitales. Pese a que conllevan costos adicionales, crean malla de seguridad para activos y reputación de empresas.

Las brechas en la ciberseguridad son uno de los problemas más grandes del nuevo milenio. A finales del 2019, el cibercrimen tuvo un costo para las empresas a nivel mundial de alrededor de US$ 3 trillones, de acuerdo al instituto Juniper Research. Como informó Gestión (10.01.2020), el Estado ha emitido un decreto de urgencia que crea seis nuevas obligaciones para las empresas que prestan servicios digitales (ver tabla).

Ahora, todas estas empresas, las cuales incluyen negocios de prestación de servicios educativos y de transporte, deben contar con un sistema de gestión de riesgos de seguridad digital para proteger su información. Al respecto, Ivan Goicochea, gerente general de Partner & People Consulting, empresa especializada en ciberseguridad, señala que lo más conveniente para las empresas sería adoptar el modelo de gestión de riesgos creado por el NIST, entidad de ciberseguridad estadounidense, ya que considera que el Estado usará esto como requisito mínimo al momento de fiscalizar a las empresas para verificar el cumplimiento de la norma.

El modelo del NIST señala que las empresas deben estar en capacidad de detectar posibles riesgos digitales, proteger la data sensible que maneja la empresa a nivel físico y digital, y detectar cualquier posible ataque. Además las empresas deben contar con un plan de respuesta ante ataques, y deben crear medidas para recuperar los daños ocasionados por el ciberataque. Goicochea considera que esto generará un alza en costos para las empresas, “que no tenían presupuestados estos gastos”.

Obligación de notificar

De acuerdo a Goicochea, otra obligación que las empresas deben considerar es que ahora deben poder “detectar incidentes de ciberataques”, lo cual, considera, conlleva una inversión “generalmente significativa”. Goicochea afirma que muchas empresas sin suficiente capital o recursos humanos van a tercerizar la detección de incidentes, lo cual afectará a las empresas “más chicas y las que tenían menor infraestructura cibernética”.

Cambio positivo

Goicochea comenta, sin embargo, que este cambio era “necesario”, y que introducir esto como obligación de ley solo adelanta lo que las empresas iban a tener que hacer eventualmente, siendo un buen comienzo. “Esto va a ayudar a varias empresas a proteger sus activos, así como a mejorar el software y hardware de la empresa. Además, se va a ayudar al valor reputacional de las empresas”, precisa. Refiere que entre abril y setiembre del 2019 hubo más de 3,000 millones de ciberataques a empresas peruanas, según Fortinet, por lo que es necesario que las empresas se cuiden para proteger sus datos y su reputación con sus clientes.

LOS DATOS

Multa. Aún no se contempla una sanción por incumplimiento. Se precisará en 90 días como máximo. Reportes. Solo entre 10% y 12% de ciberataques totales son reportados a nivel mundial.