Más allá del Firewall: Ciberseguridad y Responsabilidad Corporativa Salvadoreña

La estrategia de “ir más allá del firewall” es un imperativo del negocio, dado que las soluciones de TI por sí solas, sin una gestión holística constituyen un cumplimiento aparente y dejan expuesta a la organización a riesgos críticos que crean riesgos legales, reputacionales, financieros y operacionales.

La Ley de Ciberseguridad y Seguridad de la Información (LCSI) emitida el doce de noviembre de dos mil veinticuatro bajo Decreto N° 143 y publicada en el tomo 445 del D.O. 219 con fecha quince de noviembre de dos mil veinticuatro, tiene un ámbito de aplicación genérico a la población salvadoreña: es tanto para sector público como para el sector privado. Esta legislación, en conjunto a la Ley para la Protección de Datos Personales (LPDP) tienen un objetivo común ya que están intrínsecamente conectadas: La LPDP regula el uso y privacidad de datos, para lo cual necesita de la LCSI que regula la seguridad y protección de la infraestructura que almacena y procesa datos. Teniendo así el parámetro que redefine la responsabilidad corporativa y exige una adaptación integral del modelo de negocio y de la estructura de organizaciones e instituciones, las cuales, no pueden garantizar protección de datos si no se tienen las medidas de ciberseguridad adecuadas.

¿Cuáles son las medidas de ciberseguridad que deben tener las estructuras? El art. 31 LCSI establece que la Agencia de Ciberseguridad del Estado (ACE) tenía 90 días a partir de entrar en vigencia la misma para elaborar: normativas, protocolos, lineamientos, estándares y criterios técnicos en materia de ciberseguridad y seguridad de la información. Al visitar el sitio web oficial de la ACE identificamos que se está abordando la protección de datos a través de formularios especializados y medidas como el reporte de incidentes en vinculación al art. 25 LPDP, sin embargo, podemos definir estas herramientas como el inicio de la ruta del cumplimiento normativo en materia de ciberseguridad ya que a la fecha aún no han sido dictados los lineamientos que crean una esfera íntegra, pero ¿cómo podemos cumplir la legislación vigente?

Para cumplir, cada organización en atención a su exposición del riesgo por tamaño de empresa y sector es quien con base a los principios, los derechos que debe garantizar y las obligaciones a las cuales se encuentra sujeto, que debe crear un marco técnico organizativo adaptado a generar confianza digital y seguridad de la información, para ello deben basarse en estándares internacionales como la ISO/IEC 27001 que garantiza una correcta gestión de los Sistemas de Gestión de Seguridad de la Información (SGSI) asegurando confidencialidad, integridad y disponibilidad de datos mediante gestión de riesgos, como resultados de implementación las organizaciones podrán cumplir los siguientes retos a los que se enfrentan:

Cumplimiento normativo al marco legislativo actual y vigente, evitando: procedimientos administrativos sancionadores por incumplimiento a la LPDP y LCSI, responsabilidad civil y penal por daños y perjuicios a titulares de datos, responsabilidad de la alta dirección (v. gr. directivos, administradores) y despido o destitución del cargo. Con lo último referido hay que tomar especial atención que al despedido o destituido se le castiga con la imposibilidad por 10 años de pertenecer al sector público.

Gestionar riesgos patrimoniales: Al garantizar cumplimiento normativo eludiendo el riesgo informático que establece el art. 5 LCSI, se evitan las infracciones leves, graves y muy graves, las cuales generan una multa económica que va desde 10 salarios mínimos hasta 100

salarios mínimos del sector comercio pertinentemente, una multa de dicha índole para una PYME crea la necesidad de reestructurar su modelo de negocio para sostenerse. Por otra parte, se evitan brechas de seguridad que pueden llegar a tener altos costos por recuperación de datos secuestrados e investigación posterior (análisis forense informático) como pérdidas de ingresos directos por inactividad empresarial a causa de información secuestrada. Sin duda que, de los riesgos patrimoniales en materia de ciberseguridad podemos hacer un análisis extenso, sin embargo, podemos resumirlo a que implementar controles es una inversión estratégica a derivar en consecuencias altas.

Asegurar imagen reputacional y confianza digital para evitar la pérdida de clientes que pone en riesgo la perdurabilidad del negocio si la percepción pública se deconstruye.

Con todo lo anterior abordado, derivamos en que aplicar estándares internacionales como la ISO/IEC 27001 son indispensables, pero debemos alinear la seguridad de la información con la gestión de la privacidad: ISO/IEC 27701 (una extensión de la ISO/IEC 27001). En conjunto, estas medidas van más allá del firewall ya que no se trata de crear una “pared digital” al frente de la organización que separe el interior de la organización con el exterior de terceros; pues, muchas organizaciones contratan las mejores soluciones de TI pero solo son un “aparente cumplimiento” ya que el personal no está capacitado y no se ha efectuado un análisis exhaustivo de todas las brechas que hay en la organización, verbigracia: ¿La información es clasificada en personal y sensible? ¿Se recopila con consentimiento? ¿Cómo y dónde se almacena? Antes toda la información se contenía en archiveros, hoy ha pasado a estar en la nube con servidores de Microsoft, Google, o AWS, pero ¿cómo se gestiona el acceso y confidencialidad? ¿Cómo se efectúa la comunicación interna? ¿Cómo se resguarda la seguridad de la información en la cadena de suministro? Al final del día, se trata de analizar cuál es el organigrama de la organización y cómo están distribuidas las tareas para delimitar el campo de acción de la ciberseguridad ya que podemos ver PYMES que trabajan por medio de redes sociales y mensajes sin tener presente la vulnerabilidad de los canales por los que atraviesa la información de su cliente (nombre, correos, medios de pago, entre otros) en medios que no cuentan con una red segura y protegida. 

El análisis anterior permitirá controlar riesgos operacionales como proteger la cadena de suministro y prevenir la interrupción del negocio ya que un ataque de ransomware paraliza total o parcialmente actividades clave de la empresa. ¿Qué pasa si una fábrica no puede operar sus máquinas? ¿Si una cooperativa no puede procesar transacciones? Asimismo, la pérdida de información genera daño irreparable a la misma organización y una ventaja competitiva a un tercero.

En conclusión, el cumplimiento normativo en materia de ciberseguridad y protección de datos en El Salvador trasciende a la simple adquisición de soluciones de tecnología. La estrategia de “ir más allá del firewall” es un imperativo del negocio, dado que las soluciones de TI por sí solas, sin una gestión holística constituyen un cumplimiento aparente y dejan expuesta a la organización a riesgos críticos que crean riesgos legales, reputacionales, financieros y operacionales. Es indispensable asignar presupuesto por parte de la alta dirección y una adaptación integral para clasificar, gestionar, controlar y asegurar que la seguridad por diseño pase a ser seguridad por defecto alineada al factor humano, cualquier inversión tecnológica es insuficiente sino se garantiza la protección de la información del cliente, por lo tanto, la continuidad del negocio o del servicio de la Institución bajo el actual entorno regulatorio actual en ciberseguridad.