Opinion | Ciberseguridad: Los Nuevos Campos de Batalla

Opinion | Ciberseguridad: Los Nuevos Campos de Batalla

Ciberseguridad: Los Nuevos Campos de Batalla

La revolución digital entendida como concepto liberador de las capacidades tecnológicas y su acercamiento al ser humano ha llegado para quedarse. La inteligencia artificial, la nube, big data, el metaverso y la realidad aumentada son un ejemplo de tecnologías que ya forman parte de nuestro día a día. Pero ¿somos conscientes de cuáles son sus implicaciones? El cambio en la forma en que las personas trabajamos y vivimos es una de ellas. Hoy más que nunca, la tecnología se ha transformado en una extensión de la persona humana, ya sea en sus procesos creativos, operativos, productivos y rodea casi todos los aspectos de nuestra vida. En esta línea no podemos dejar de pensar en los pros y contras que trae esta nueva ola, sin duda hay muchos beneficios que hoy son evidentes como por ejemplo los avances en salud y conectividad, pero también hay facetas negativas o que abren espacios de riesgo tanto para las industrias como para las personas. Es por esto que el desarrollo tecnológico no puede verse en silos, es necesario que el análisis siempre sea integral y cuando hacemos este ejercicio es inevitable pensar en la seguridad.

La ciberseguridad pasó de ser un asunto de películas de espionaje y gobiernos a ser un tema de vital importancia en aspectos cotidianos de nuestras vidas, como proteger nuestros datos, claves o usar responsablemente plataformas o tecnologías. Su relevancia ha dado paso a importantes avances normativos en el marco global, regional y local. En los últimos años hemos observado como los esfuerzos público-privados se han centrado en impulsar y desarrollar un marco de cumplimiento en el mundo digital. Empezamos ya hace muchos años con distintos intentos que han concluido, después de un largo calvario, en la promulgación de una nueva Ley de Protección de Datos Personales que actualiza la normativa antes vigente de 1999, si bien tendrá un periodo de vacancia y entrará en vigor el 1 de diciembre de 2026, este avance se ha celebrado desde distintas industrias dada su larga espera y necesidad. También encontramos normativas como la Ley de Transformación Digital del Estado y la actualización de la Ley de Delitos Informáticos, ambas de 2022. Finalmente encontramos lo que podría considerarse la piedra angular de la ola de producción normativa en aspectos tecnológicos, la Ley Marco de Ciberseguridad publicada el 8 de abril de 2024 en el Diario Oficial.

La institucionalidad y sus implicancias prácticas

La Ley Marco de Ciberseguridad se presenta hoy como una prioridad para el mundo del compliance, si analizamos en primer lugar la línea temporal, ya encontramos importantes cambios con impactos directos sobre distintas industrias, además de la instauración de una institucionalidad que sin duda es un elemento clave para asegurar el cumplimiento de los objetivos de normativas tan específicas. Hemos observado una aceleración no menor en la generación de reglamentos en este sentido, encontramos por ejemplo el Decreto con Fuerza de Ley que pone en funcionamiento a la ANCI (Agencia Nacional de Ciberseguridad) a partir del 1 de enero de 2025, posteriormente los Decretos que aprueban el reglamento de reporte de incidentes de ciberseguridad a la ANCI, la obligación de prestadores de servicios esenciales de inscribirse para poder efectuar dichos reportes y finalmente el Decreto que establece el procedimiento mediante el cual la ANCI determinará qué prestadores de servicios esenciales (PSE) serán calificados como OIV, teniendo estos últimos como implicancia principal un mayor grado de exigibilidad en sus programas de cumplimiento y multas.

Este último punto merece particular atención en relación con el cambio de paradigma que ha tenido el mundo de la ciberseguridad, tanto la sofisticación de ataques apalancados por herramientas como la Inteligencia Artificial como también la apertura de nuevos “Campos de Batalla” como lo son los ataques a redes OT a diferencia de lo que veíamos hace solo un par de años. Con el paso del tiempo hemos notado que las amenazas de seguridad tienen un dinamismo tanto en la forma en que se producen como en los sectores a los que apuntan. La ciberseguridad industrial hoy se ha transformado en un tema prioritario tanto para el sector público como privado.

Hace un par de años nuestra atención estaba completamente centrada en sectores como el financiero porque entendíamos que la mayor amenaza producida a través de ataques cibernéticos impactaba fundamentalmente sectores como este, en definitiva la industria financiera es 100% gestionada por sistemas TI (Information Technology), entendiendo a estos como sistemas de gestión o procesamiento de datos o información, a contrario sensu, de los sistemas OT (Operational Technology) los cuales gestionan sistemas físicos de producción o infraestructura crítica como plantas de energía, industrias de manufactura, farmacéuticas o la industria automotriz. En este contexto es relevante considerar algunos riesgos adicionales. Los sistemas OT enfrentan riesgos adicionales debido a sus entornos únicos y a menudo impredecibles. Entre estos riesgos se pueden incluir los riesgos para la salud y seguridad del personal, efectos potenciales en el cumplimiento ambiental y regulatorio y la afectación masiva de servicios de utilidad pública como el transporte, las cadenas de producción alimenticia y farmacéutica entre otras.

Hoy en día, muchísimas más empresas estarán sujetas al cumplimiento de las normativas de ciberseguridad debido a la creciente complejidad y alcance de las amenazas. A partir del 30 de mayo, se dio inicio al proceso de calificación de los Operadores de Importancia Vital (OIV), lo cual traerá consigo una inevitable revisión de los programas de seguridad de muchas organizaciones.

Esta revisión no solo implicará una actualización de las medidas técnicas de protección, sino que también requerirá un enfoque integral que abarque aspectos legales, organizacionales, técnicos y operacionales. Las empresas deberán asegurarse de que sus políticas y procedimientos estén alineados con las nuevas exigencias normativas, y que sus equipos estén capacitados para enfrentar las amenazas emergentes.

En el aspecto legal, las empresas deberán garantizar el cumplimiento de todas las normativas vigentes, y dar cumplimiento por ejemplo a indicaciones como el deber de reportar, regulada en el artículo 9 de la Ley Marco de Ciberseguridad y el Decreto 295/2024. Esto implicará una revisión exhaustiva de los contratos y acuerdos con proveedores y terceros para asegurarse de que también cumplan con los requisitos de ciberseguridad.

Desde el punto de vista organizacional, las empresas deberán fomentar una cultura de seguridad digital en todos los niveles, promoviendo la concientización y formación continua de su personal. Será crucial establecer roles y responsabilidades claras en cuanto a la gestión de la ciberseguridad, así como contar con un plan de respuesta a incidentes bien definido, ambas obligaciones también reguladas en la nueva Ley.

En cuanto a los aspectos técnicos y operacionales, las empresas deberán implementar tecnologías avanzadas de detección y respuesta a amenazas, asegurarse de que sus sistemas y redes estén adecuadamente protegidos y realizar pruebas y auditorías periódicas para identificar y corregir vulnerabilidades.

En resumen, la calificación de los OIV marcará un hito en la ciberseguridad, obligando a las empresas a adoptar un enfoque más riguroso y multidimensional en la protección de sus infraestructuras críticas. Este proceso, aunque desafiante, es esencial para garantizar la resiliencia y continuidad de los servicios y operaciones en un entorno cada vez más digital y conectado.

Es esencial que las empresas perciban el compliance normativo no solo como una obligación, sino como una herramienta de desarrollo empresarial. La necesaria transformación digital exige que se mire la Ciberseguridad como un elemento de engranaje clave desde una perspectiva positiva y estratégica. No debe ser visto únicamente como un gasto eventual, sino como una inversión en la resiliencia y continuidad de los servicios y operaciones en un entorno cada vez más digital y conectado.

El entorno digital viene experimentando un cambio de paradigma que requiere una adaptación proactiva por parte de las empresas. La complejidad y el alcance de las amenazas demandan un enfoque multidisciplinario en la protección de las infraestructuras digitales. El futuro ya está aquí, y es tiempo de que las organizaciones inicien procesos internos de análisis para dar cumplimiento en esta materia. Adoptar un enfoque integral de compliance y seguridad digital no solo asegura la conformidad con las normativas, sino que también impulsa el desarrollo empresarial en la transformación digital, garantizando la resiliencia y continuidad en el mundo moderno.

Felipe Godoy Correa

Legal Country Lead Accenture Chile

Podcast | Rule The Rules Episodio 4; Gabriela Del Castillo, Directora global de Ética y Cumplimiento.

En este episodio, Yoab Bitran, director del Grupo Compliance de Albagli Zaliasnik, conversa con Gabriela del Castillo, directora global de Ética y Cumplimiento.

En una conversación cercana, Gabriela comparte su inspiradora trayectoria profesional y cómo ha enfrentado momentos de gran complejidad. Relata cómo, en un periodo especialmente desafiante, tuvo que abordar riesgos normativos estrechamente ligados al negocio.

Destaca, además, la relevancia de construir relaciones sólidas dentro de la organización como parte fundamental del rol del compliance officer.

Webinar | Lanzamiento Guía Comparada Investigaciones Internas

Webinar | Lanzamiento Guía Comparada Investigaciones Internas

Compliance Latam te invita al webinar de lanzamiento de la Segunda Guía Comparada sobre Investigaciones Internas, un recurso clave para comprender los desafios, tendencias y herramientas para liderar investigaciones internas efectivas.

🗓 Fecha: 24 de julio
⏱️ Hora:
Costa Rica | El Salvador | Guatemala | Honduras | México | Nicaragua 9:00 am.
Colombia | Ecuador | Panamá | Perú 10:00 am.
Bolivia | Chile | EE.UU. (Washington D.C) 11:00 am.
Argentina | Brasil | Paraguay | Uruguay 12:00 pm.
España 17:00 pm.

🎙 En esta oportunidad conversaremos junto a cuatro destacados expositores:
Felipe Volante, Maria Archimbal, Facundo Galeano y Gustavo Papeschi.

➡️ No te lo pierdas y regístrate aquí:
https://lnkd.in/eC5u4SpK

Podcast “Rule the Rules” – Temporada 2 Episodio 3: Patricia Kósa, Vicepresidenta y Compliance Officer en Sierra Metals

En este episodio del podcast, Yoab Bitran, Director del Grupo Compliance de Albagli Zaliasnik, entrevista a Patricia Kosa, actual Vicepresidente y Compliance Officer en Sierra Metals.

Durante la conversación, Patricia comparte su trayectoria profesional, destacando su paso por el ámbito legal y cómo fue asumiendo crecientes responsabilidades hasta llegar a liderar el área de compliance en una empresa minera con operaciones en distintos países de América Latina.

Además, detalla cómo es su día a día como Compliance Officer, explicando cómo implementa el compliance en la organización: desde la elaboración de políticas internas y procesos de capacitación, monitoreo y el fortalecimiento de una cultura ética empresarial. Resalta la importancia de anticiparse a los riesgos y la necesidad de contar con el apoyo del liderazgo para que el programa de cumplimiento tenga impacto real.

Chile | CMF emitió nueva norma sobre autenticación reforzada en medios de pago

Chile | CMF emitió nueva norma sobre autenticación reforzada en medios de pago

La nueva norma entrará en vigor el 1 de agosto de 2025, con un plazo extendido hasta el 1 de julio de 2026 para implementar la ARC en los casos obligatorios.

La Comisión para el Mercado Financiero (CMF) emitió la Norma de Carácter General N° 538 que establece los estándares mínimos de seguridad, registro y autenticación que deberán cumplir bancos, emisores de tarjetas, cooperativas de ahorro y crédito y otras entidades supervisadas.

Esto en relación con las operaciones sujetas a la Ley N°20.009 sobre responsabilidad por operaciones no reconocidas con medios de pago.

Dentro de los principales puntos a destacar de esta norma, se encuentran:

  • Se introduce la obligación de implementar autenticación reforzada de cliente (ARC) en operaciones clave, como transferencias electrónicas de fondos y modificaciones de datos personales.
  • La ARC deberá basarse en al menos dos factores independientes de autenticación (conocimiento, posesión e inherencia).
  • Se exige a los emisores asegurar la confidencialidad, integridad y trazabilidad de las transacciones.
  • La CMF podrá fiscalizar y sancionar el incumplimiento de estos estándares.

Es importante mencionar que la norma entra en vigor el 1 de agosto de 2025, con un plazo extendido hasta el 1 de julio de 2026 para implementar la ARC en los casos obligatorios.

De este modo, esta norma marca un hito importante en la protección del usuario financiero frente a fraudes, reforzando las medidas de ciberseguridad y trazabilidad exigidas a los emisores.

El llamado a estas entidades es a prepararse, ya que será clave revisar políticas internas, sistemas tecnológicos y protocolos de autenticación en miras al cumplimiento normativo.

Puedes revisar el texto completo aquí.

https://www.cmfchile.cl/normativa/ncg_538_2025.pdf

Opinión | ¿Por qué compliance en educación?

Opinión | ¿Por qué compliance en educación?

Compliance nació como una respuesta a la Ley N° 20.393 y la regulación de la responsabilidad penal de las personas jurídicas, sin embargo, hoy en día ha evolucionado y se ha convertido en mucho más que la implementación de un Modelo de Prevención del Delito al interior de la empresa, se ha transformado en un verdadero motor ético y cultural de las organizaciones. 

 En este sentido nos preguntamos ¿por qué compliance en educación?  

La educación es un proceso de aprendizaje permanente que abarca las distintas etapas de la vida de las personas y que tienen como finalidad alcanzar su desarrollo espiritual, ético, moral, artístico y físico, mediante la transmisión y cultivo de valores, conocimientos y destrezas.

Entonces, si queremos formar personas íntegras capaces de construir una sociedad más justa y segura, incorporar los valores y principios de compliance al interior de la administración de la persona jurídica parece ser el camino correcto.  

 La cultura de cumplimiento se posiciona como una herramienta estratégica dentro de una organización que incorpora estándares de integridad, transparencia y responsabilidad que permean en todo el quehacer de una empresa, en este caso la entidad sostenedora. Por lo tanto, si un establecimiento educacional tiene estándares éticos y de calidad en su operación, ineludiblemente dicha cultura se traspasará a todas las áreas, incluidas las relaciones entre los grupos de interés que conforman a la comunidad educativa. 

En este sentido, cobra un rol fundamental la figura de los sostenedores de establecimientos educacionales, ya que son ellos quienes deben dar un propósito a la gestión de sus establecimientos y dirigirlos conforme al actuar de éste. Son ellos quienes deben establecer el marco ético y estratégico que guiará a la entidad, aportando desde la administración no solo para cumplir con la normativa para evitar la sanción punitiva, sino que con el propósito de hacer las cosas bien excediendo los estándares mínimos para dar un ejemplo con su gestión. 

El mundo educacional se encuentra regulado por alrededor de tres mil leyes y cuerpos normativos lo cual es un exceso que agobia a los equipos directivos, por lo que compliance no puede ser una carga más, sino que se tiene que posicionar como una herramienta útil, que aporte en la resolución de los problemas que se viven en el día a día de los establecimientos educacionales. 

De esta manera, compliance contribuye en la labor de los equipos directivos y de convivencia escolar, permitiendo anticiparse a los conflictos y, en el caso de que existan, resolverlos al interior de las comunidades con mecanismos alternativos de solución, evitando la judicialización de los problemas. 

Incorporar una cultura de compliance en la gestión educativa no solo previene riesgos, sino que legitima el trabajo de los sostenedores y fortalece la confianza en la enseñanza. Porque educar con transparencia y respeto por las normas no es sólo una exigencia ética, sino una inversión en la formación de personas integrales, capaces de elevar el estándar del trabajo y la convivencia en la sociedad. Hoy más que nunca, los sostenedores tienen en sus manos la oportunidad de renovar el vínculo entre la educación y la sociedad mediante prácticas justas, coherentes y sostenibles. 

 Rocío Mendoza, Gerente Legal & Compliance Officer en SOFOFA.