Hacia una regulación más sólida en ciberseguridad

La regulación en ciberseguridad dentro de la ley colombiana sigue siendo liviana. Esta pide a organizaciones de algunos sectores realizar pruebas de seguridad periódicas -la periodicidad es específica solo para el sector financiero, al que se exigen pruebas mínimo dos veces al año- y revelar cierta información en caso de haber sufrido impactos por ciberataques.

Pero, ¿por qué solo algunas organizaciones? ¿Por qué no revisar constantemente algo que representa un problema para las empresas no solo en Colombia sino en todo el mundo? ¿Para qué centrarse en revelar incidentes ya ocurridos? Y, ¿por qué no atender primeramente a la prevención y a la protección y el bienestar de los usuarios?

Son muchísimas las empresas que actualmente ofrecen sus productos y servicios a través de medios digitales y que solicitan información confidencial a sus clientes o usuarios. Las vulnerabilidades de seguridad en esta tecnología son abundantes. Casi a cualquier sistema que se evalúe se le reportarán vulnerabilidades.

Estos problemas de ciberseguridad, sobre todo aquellos de severidades alta y crítica, al ser explotados por ciberatacantes, pueden permitir la afectación de las operaciones y recursos de las compañías y sus clientes o usuarios. El robo de información sensible, además de impactar negativamente la reputación de una empresa, puede poner en riesgo la seguridad de las personas involucradas.

La regulación colombiana en ciberseguridad debería aplicar para todas las compañías que hagan uso de la tecnología de la información y de recursos confidenciales, no solo para aquellas dentro de la categoría de “infraestructura crítica pública”. Esperar una autorregulación por parte de las organizaciones no ha demostrado ser una estrategia efectiva.

Por otro lado, tanto los sistemas informáticos como las amenazas cibernéticas se encuentran en constante evolución. Pequeñas modificaciones en un software pueden traer consigo nuevas vulnerabilidades. Asimismo, son cada vez más avanzadas las estrategias de ataque que elaboran los delincuentes.

Por esto, la regulación colombiana debería solicitar a las organizaciones la realización de pruebas de seguridad de manera continua y no esporádica, para que con ayuda de ellas puedan estar atentas a lo que signifique exposición al riesgo en sus sistemas y tomar medidas de remediación.

A lo anterior, la legislación podría agregar un requisito en el que se obligue a las organizaciones a hacer públicas las vulnerabilidades que no solucionen en determinado periodo de tiempo (preferiblemente pocas semanas) y a pagar sanciones en caso de no cumplir con ello. Nadie va a querer revelar no haber cerrado una vulnerabilidad y tenerla aún abierta dentro de sus sistemas, poniendo en riesgo la seguridad de la información de sus usuarios, quienes, por cierto, tienen todo el derecho de saber si la tecnología que usan es segura.

Las pruebas de seguridad continuas y la reparación oportuna de vulnerabilidades hacen parte de una postura preventiva, no defensiva o reactiva. Es cierto que revelar los ciberataques exitosos contra las empresas puede servir como advertencia y llamado a la acción preventiva. Sin embargo, creemos que para ello sería más útil la obligación de hacer públicas las vulnerabilidades no remediadas, que los golpes recibidos por otros.

La atención del Gobierno colombiano debería enfocarse más en la prevención para la protección de los usuarios. No podemos deshacer las filtraciones de datos, los robos o las interrupciones de operaciones ya ocurridas. No tenemos que esperar a ser víctimas de ciberataques para ser conscientes del valor de la ciberseguridad. El Estado debería estipular regulaciones nuevas y más sólidas en seguridad que las industrias con tecnología informática deberían cumplir para el bienestar de todos.