Bernardita Briones, miembro del Consejo de Ética y Autorregulación de la AMDD, y abogada y delegada de protección de datos de las empresas de Enel en Chile.
Como comentamos en la columna anterior, para asegurar el cumplimiento de la Ley de Protección de Datos Personales –aplicable a todos sin excepción– y de la Ley Marco de Ciberseguridad (Ley Marco), –que aplica a los que prestan “servicios esenciales” y a los “operadores de importancia vital” (OIV)– es fundamental que los prestadores de servicios se preocupen de fortalecer sus sistemas de información, pues son parte de la cadena o red de suministro.
Los actores de una determinada actividad económica están pasando a ser partners más que competidores o prestadores. Es decir, lo que haga o deje de hacer uno, influirá en el correcto desempeño y cumplimiento normativo del otro, ya sea de cara a los clientes, al mercado, a la autoridad y a la sociedad en su conjunto.
Debido a la interdependencia con otras compañías, el daño que puede sufrir una empresa ante un ciberataque puede afectar a muchas otras, sin ni siquiera saberlo ni haberlo podido evitar.
Por eso, las exigencias y el control que ejerzan sobre sus proveedores serán fundamental para asegurarse que los estándares de éstos sean equivalentes a los propios en estas materias.
Si nuestros sistemas informáticos (y los de nuestros proveedores) son robustos y diseñados de acuerdo a los principios de la ley de protección de datos, toda la información que tengamos de nuestros clientes y trabajadores estará protegida, garantizando la confidencialidad, la integridad y la disponibilidad de los activos digitales y, con ello, lograremos que el derecho fundamental a la protección de datos sea una realidad.
Por otro lado, nada de esto sirve si nuestros trabajadores dejan el computador “abierto” cuando van a prepararse un café o si comparten sus contraseñas. Se debe formar a nuestros colaboradores en ciberhigiene, es decir, en prácticas y hábitos que permitan proteger sus sistemas, dispositivos, redes y datos de amenazas cibernéticas, tales como mantener contraseñas seguras y protegidas, usar la autenticación multifactor, realizar copias de seguridad de los datos regularmente, actualizar las aplicaciones y el software, entre otros.
Además, es esencial capacitar a los equipos de trabajo, de manera de que los sistemas informáticos, aplicaciones y demás productos se diseñen, implementen y gestionen teniendo en cuenta la seguridad y la protección de los datos personales que procesan.
Con todo esto, podremos alcanzar un nivel adecuado de seguridad, en el que la tecnología y la innovación sean soportadas por un comportamiento maduro, consciente y responsable de los actores involucrados. Con ello daremos un paso estratégico hacia la resiliencia cibernética, la confianza de los usuarios y la responsabilidad en el tratamiento de los datos.
