Ciberseguridad

Los últimos años no han sido los mejores en materia de ciberseguridad y es probable que esta situación tienda a empeorarse. Múltiples gobiernos, empresas y particulares a nivel global han sido víctimas de ciberataques. Sin embargo, a pesar de la frecuencia, sofisticación y gravedad de estos ataques, actualmente solo un pequeño porcentaje de empresas cuentan con un plan de respuesta a ataques o incidentes de ciberseguridad, y muchas no están preparadas financieramente para este tipo de incidentes1. En una encuesta reciente realizada a casi 2.800 organizaciones de todo el mundo, uno de cada cinco encuestados afirmó haber sufrido un ataque de ransomware en 2021, y casi la mitad de ellos sufrieron importantes consecuencias operativas como resultado de estos ataques2

Teniendo en cuenta la relevancia que está cobrando actualmente los temas relacionados con ciberseguridad, en este breve artículo daremos una mirada al panorama general en los últimos años, y los aspectos a tener en cuenta para el 2023. 

1.    Incidentes de ciberseguridad y ataques cibernéticos

En los últimos dos años, se presentaron incidentes, filtraciones de datos, ataques de ransomware importantes, como los siguientes:

  • En marzo, Nvidia, una de las mayores empresas líder en computación de inteligencia artificial del mundo, confirmó que sufrió un ciberataque a manos del grupo de piratas informáticos Lapsus$, que dio lugar a la filtración de información personal de más de 71.000 empleados3.
  • En diciembre de 2022 EPM anunció ser víctima de un ataque cibernético en su plataforma tecnológica, la cual afectó la prestación de los servicios de energía y agua4.
  • En noviembre de 2022 Grupo Keralty (Sanitas) denunció que sufrió un ataque cibernético que comprometió la información personal de más 241.589 usuarios5
  • Estos son solo algunos de los ataques de ciberseguridad que han afectado a empresas, organizaciones e información personal de clientes y usuarios en Colombia y el mundo. Es por esto que la ciberseguridad cobra cada vez más relevancia, y es deber de las empresas y organizaciones tomar medidas para prevenir estos ataques, gestionar y mitigar los riesgos derivados de los ciberataques. 

2.    Panorama jurídico en materia de ciberseguridad

Teniendo en cuenta el panorama actual y la tendencia de vulnerabilidad, los gobiernos y entes reguladores están empezando a tomar medidas e iniciativas sobre temas relacionados con la ciberseguridad como las siguientes:

  • En Estados Unidos el presidente Biden promulgó la Ley de Notificación de Incidentes Cibernéticos para Infraestructuras Críticas de 2022. Esta ley exige a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) que desarrolle y aplique reglamentos que exijan a las entidades notificar a la CISA los incidentes cibernéticos cubiertos y los ataques de ransomware.6  
  • En el 2022 la Oficina de Control de Activos Extranjeros (OFAC, por sus siglas en inglés) del Departamento del Tesoro Estados Unidos publicó el Reglamento de sanciones relacionadas con ciberataques7. El Reglamento combina leyes y otras normativas existentes y reitera la desaprobación del gobierno de los Estados Unidos de realizar pagos en relación con ciberataques, en particular en relación con actividades originadas fuera de Estados Unidos8.
  • En Colombia, el Ministerio de Tecnologías de la Información y las Comunicaciones expidió el Decreto 338 de 2022 para establecer un modelo de estructura de gobernanza centrado en la seguridad digital. El proyecto de Decreto refleja la preocupación creciente del Gobierno nacional por la ciberseguridad y la necesidad de desarrollar mayores y mejores capacidades de análisis, prevención y respuesta, del sector público en conjunto con el sector privado9.
  • El Plan Nacional de Desarrollo (“PND”), presentado por el presidente Gustavo Petro, planeaba diseñar e implementar estrategias para salvaguardar la infraestructura crítica cibernética del país, proteger la información de las entidades del gobierno y de las personas de posibles ataques cibernéticos y delitos informáticos y establecer lineamientos para adoptar estándares y buenas prácticas en materia de Ciberseguridad10. A pesar de que las propuestas en materia de ciberseguridad presentadas en el PND no fueron aprobadas por el Congreso de la República, el gobierno nacional mantiene el interés en desarrollar políticas y estrategias para proteger la infraestructura cibernética y la información en el país. 

3.    Aspectos a tener en cuenta para el 2023 en materia de Ciberseguridad

Teniendo en cuenta las nuevas tendencias regulatorias en materia de ciberseguridad, así como los proyectos legislativos y propuestas, se deben tener en cuenta los siguientes aspectos al momento de implementar las normas, planes y hojas de ruta en materia de ciberseguridad

  • Informar y capacitar permanentemente a empresas, entidades y personas naturales sobre los riesgos de ciberseguridad las mejores prácticas para evitar incidentes y ciberdelincuencia. Se ha comprobado que gran parte de los ciberataques se logran dada la ignorancia o descuido de los usuarios.
  • Establecer medidas normativas y políticas públicas para que las empresas dispongan de sistemas de repuesta a incidentes de ciberseguridad
  • Realizar periódicamente ejercicios prácticos de respuesta a ciberseguridad para familiarizar y capacitar a los funcionarios públicos y empleados sobre cómo actuar ante un incidente de ciberseguridad.
  • Revisar periódicamente el presupuesto de ciberseguridad de las empresas y entidades y evaluar la cobertura de los seguros relacionados con la ciberseguridad. 
  • Asegurarse que, desde el punto de vista de gobierno corporativo, las más altas instancias de las organizaciones estén comprometidas y sean responsable por la ciberseguridad.

Como es claro, la ciberseguridad es una preocupación cada vez más relevante en todo el mundo y su importancia está creciendo. ¡Se habla incluso que la tercera guerra mundial vendrá en la forma de una “ciber-guerra”! Por ello, es urgente que las empresas y organizaciones tomen medidas para prevenir los ataques cibernéticos y proteger la información personal de sus clientes y usuarios. Al mismo tiempo, los reguladores deben continuar tomando medidas para proteger la infraestructura, garantizar la seguridad en línea y mejorar la respuesta a los ataques. Es importante seguir monitoreando y fortaleciendo las medidas de seguridad para prevenir futuros incidentes de ciberseguridad.

 


 

1. Cybersecurity: Continued Cyberattacks and New Regulations Result in Increased Risk. Disponible en: https://www.clearygottlieb.com/news-and-insights/publication-listing/cybersecurity-continued-cyberattacks-and-new-regulations-result-in-increased-risk#_ftn1 

2. Thales, “2022 Thales Data Threat Report” (February 2022), disponible en: https://mb.cision.com/Public/20506/3530950/b55a39d9e52a4074.pdf  

3. Cybersecurity: Continued Cyberattacks and New Regulations Result in Increased Risk. Disponible en: https://www.clearygottlieb.com/news-and-insights/publication-listing/cybersecurity-continued-cyberattacks-and-new-regulations-result-in-increased-risk#_ftn1

4. https://www.eltiempo.com/colombia/medellin/medellin-la-gravedad-y-riesgos-del-ciberataque-que-sufrio-epm-729517 

5. https://www.eltiempo.com/salud/eps-sanitas-ciberataque-vulnero-datos-de-241-589-usuarios-736961 

6.  Cybersecurity: Continued Cyberattacks and New Regulations Result in Increased Risk. Disponible en: https://www.clearygottlieb.com/news-and-insights/publication-listing/cybersecurity-continued-cyberattacks-and-new-regulations-result-in-increased-risk#_ftn1 

7. Ibidem

8. Ibidem

9. Ministerio de Tecnologías de la Información. Decreto 338 del 8 de marzo de 2022. Disponible en: https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=181866 

10. Ibidem

 

Para mayor información contacte a nuestro equipo
Compartir estas noticia
Nuevos servicios