Gran parte de los directorios en Chile desconoce el impacto de la Ley Marco de Ciberseguridad en su empresa

A la espera de la entrada en vigencia de la nueva Ley Marco de Ciberseguridad y la creación de la futura Agencia Nacional de Ciberseguridad (ANCI), aún son muchos los directorios en Chile que enfrentan retos en la gestión de los riesgos digitales. Si bien hay algunos avances, los integrantes de estas instancias, en su mayoría, desconocen el impacto que tendrá la regulación e incluso, no tienen claridad de las sanciones a las que se exponen las empresas.

Así lo reflejó la segunda Radiografía de la Ciberseguridad en Directorios de Chile, del Instituto de Directores de Chile (IdDC) en conjunto con el Centro de Investigación de Ciberseguridad IoT-IIoT, que expone los desafíos y obstáculos que enfrentan los directores de empresas locales al tomar decisiones relacionadas con ciberseguridad.

Según el análisis, que considera una encuesta de 18 preguntas de selección a 100 directores de distintos sectores que forman parte de la red del IdDC, 65% no conoce o no sabe el impacto que tendrá la aplicación de la Ley Marco de Ciberseguridad en su empresa, mientras que 55% no conoce o no sabe de las sanciones y multas consideradas en la nueva regulación.

La directora ejecutiva del IdDC, Fadua Gajardo, explicó que esto se debe a que muchas veces los temas de ciberseguridad no están abordados a nivel de directorios, sino en áreas o departamentos específicos.

“Hay un desafío de sensibilización y de involucrar estos temas en las agendas de los directorios para poder entender el impacto que va a tener esta aplicación en las compañías que nosotros representamos”, comentó.

Señaló también que en términos generales “en todo tenemos un poquito de deuda. Por ejemplo, de los resultados que se llevan al directorio, un tercio de la muestra nos indica que es a solicitud del directorio y no forman parte integral de su cronograma o agenda. Eso es súper relevante, porque no estamos dimensionando el riesgo en materia de ciberseguridad como parte de la agenda”, afirmó.

Avances y desafíos

La segunda radiografía también evidenció que un 45% de los directorios cuenta con al menos un integrante calificado en ciberseguridad, superando el 22% de la primera edición (2023). A pesar del avance, el 55% dijo que no tiene o no sabe si cuenta con un director calificado en la materia.

Gajardo también destacó los avances en torno a estructura de gobernanza de seguridad. De hecho, el 44% señaló que su directorio facilita a la organización una estructura de gobernanza de seguridad integral -que contempla seguridad de la información, informática, ciberseguridad y protección de datos- superior al 34% en la primera medición.

“Hoy los directorios facilitan una estructura de gobernanza, donde un órgano de gobierno corporativo es el que tiene la responsabilidad de resguardar estas materias y no solo un área de la empresa. En este sentido es fundamental designar y articular algún comité específico de ciberseguridad o de riesgo que apoye dicha labor”, afirmó.

Gajardo señaló que uno de los principales desafíos, es avanzar en la periodicidad en la que se presentan informes de riesgo a los directorios, debido a que un 26% lo realiza sólo cuando se produce un incidente crítico y un 17% no los presenta. “Es la única manera de visibilizar y de poner una estrategia en el centro del directorio sobre estos temas”, dijo.

También comentó que los directorios están “al debe” en aspectos como la asignación de un uso estratégico al presupuesto de seguridad y en establecer estrategias de comunicación segmentada tanto para el público, reguladores y agencias de calificación que estén alineadas a los escenarios de ciberseguridad de su organización.

Iniciativas

Gajardo señaló que IdDC realiza periódicamente charlas de “sensibilización” en materia de ciberseguridad, destinadas a directores y ejecutivos.

El primer semestre de 2025, lanzarán la segunda versión de su programa de formación en innovación y ciberseguridad, con lo que esperan abordar las brechas que reveló esta nueva versión de la radiografía.

“El programa tiene foco en transformación digital y hay módulos específicos de ciberseguridad donde se incorpora, por ejemplo, cómo sumar estos temas en la agenda del directorio, cómo supervisarlos, o cómo generar una matriz de riesgo ligada a estas materias”, explicó.

El Instituto desarrolló un software llamado Dboard para que las empresas puedan digitalizar la gestión de su gobierno corporativo de forma segura, en el que pueden cargar documentos o información estratégica, para evitar el uso de correos electrónicos y potenciales filtraciones de datos.