Columnas
La importancia del CISO en la prevención de los delitos informáticos y su interacción con el Compliance Officer
El CISO (Chief Information Security Officer) forma parte de la segunda línea de defensa en las organizaciones, convirtiéndose en un eje estratégico en la administración y gestión de riesgos, asociados a la ciberseguridad y seguridad de la información.
Por: Paulina Ravilet Mariangel* y Rebeca Zamora**
El nuevo catálogo de delitos informáticos a partir de la recientemente publicada Ley N°21.459, establece distintas figuras penales que son una necesaria modernización en la materia. Esas figuras penales se agregan al catálogo de la Ley N°20.393, sobre responsabilidad penal de las personas jurídicas, obligándolas a cumplir sus deberes de dirección y supervisión con debida diligencia para prevenir su comisión.
Es así como las empresas deben ser capaces de diseñar y adoptar un programa de cumplimiento de acuerdo con el perfil de riesgos organizacional para prevenir la ciberdelincuencia. Para ello deben identificar los riesgos en materia de ciberdelincuencia a los que se enfrenta la organización, teniendo en consideración el impacto y la probabilidad de que se materialicen, evaluar procedimientos (controles) que protejan a la organización y mitiguen los riesgos identificados y establecer su monitoreo y la capacitación continua a fin de generar cultura de ciberseguridad.
En estos casos, la segunda línea de defensa tiene un rol preponderante al interior de cada una de las organizaciones, por cuanto, deben maximizar sus esfuerzos con el objeto de reducir las vulnerabilidades de carácter interna e incorporar controles que permitan mitigar los riesgos asociados al incumplimiento o con ocasión de la materialización de algunos delitos descritos en la presente norma.
¿Cuál es la importancia del denominado CISO en esto? El CISO forma parte de la segunda línea de defensa en las organizaciones, convirtiéndose en un eje estratégico en la https://estadodiario.com/wp-content/uploads/2018/02/im4-1.jpgistración y gestión de riesgos, asociados a la ciberseguridad y seguridad de la información. Su deber de reporte ante la Alta Administración tiene una labor de suma importancia al mantener informado sobre estas temáticas a los Directorio, para lo que debe contar con la debida independencia. Dicho lo anterior, este integrante de la segunda línea de defensa se encarga principalmente de dirigir, orientar y coordinar la implantación de la estrategia de ciberseguridad de una organización.
Por otro lado, no hay duda de que debe tener conocimientos sobre gobernanza, riesgo y cumplimiento de modo de anticiparse a los -cada vez mas frecuentes- cambios regulatorios y amenazas a los sistemas. Sus habilidades blandas e interpersonales se parecen a las requeridas por el oficial de cumplimiento: deben asumir que no todos conocen y entienden la seguridad como ellos y poder hablar con las personas de manera positiva usando términos que entiendan, tal como el oficial de cumplimiento debe hacerlo cuando habla de corrupción.
Cada empresa sigue un modelo organizativo diferente, por lo que sus funciones pueden variar según la madurez o la actividad de la organización, pudiendo haber una fusión entre la figura del CISO y otras, como la del DPO (Data Protection Officer).
Ahora ¿Qué hace el CISO al interior de las organizaciones?
- Alinear la estrategia de ciberseguridad con los objetivos de la empresa.
- Definir la normativa de seguridad y velar por su cumplimiento.
- Prevenir, detectar y analizar vulnerabilidades.
- Informar y reportar a la alta Dirección sobre cuestiones relacionadas con la ciberseguridad.
- Dar respuesta rápida ante cualquier incidente de ciberseguridad.
- Formar, concienciar y sensibilizar a la organización en materia de seguridad de la información.
- Generar e implementar políticas de seguridad de la información / Ciberseguridad.
- Garantizar la seguridad y privacidad del acceso a datos de la organización.
- Supervisar la https://estadodiario.com/wp-content/uploads/2018/02/im4-1.jpgistración del control de acceso a la información.
- Supervisar la arquitectura de seguridad de la información de la empresa.
¿Cómo se conjugan roles con el oficial de cumplimiento? En lo que respecta a la nueva Ley de Delitos Informáticos, el CISO debe identificar, prevenir y monitorear la ocurrencia de hechos asociados a posibles incidentes que puedan desencadenar en la materialización de ciberdelitos. Ahora bien, siendo que es el oficial de cumplimiento / encargado de prevención de delitos el responsable de la gestión del sistema de prevención al alero de lo que establece la ley N°20.393, surge la pregunta acerca de cómo estos roles se relacionan.
A nuestro juicio, el Oficial de Cumplimiento -al igual que el CISO- debe tener un rol preponderante, con autonomía y con reporte de directo a la Alta Administración. Ambos actúan de forma paralela en las materias que reportan al Directorio desde sus respectivos ámbitos de acción, donde es importante que mantengan la independencia de su rol, de tal forma que su opinión se mantenga imparcial y pueda reportar libre de injerencias de las áreas operativas de la primera línea en las empresas. Dicho lo anterior, ambas posiciones tienen una labor colaborativa, de supervisión y coordinación.
Finalmente, vale la pena mencionar que el Proyecto de Ley de Delitos Económicos (Boletín 13205-07), que también trae importantes modificaciones a la Ley 20.393, al describir los elementos mínimos del Modelo de Prevención de delitos (art. 3 N°3) establece la “Asignación de sujetos responsables por la aplicación de dichos protocolos, dotados de facultades efectivas de dirección y supervisión”, lo que implica reconocer que a futuro será conveniente que, dependiendo de la complejidad de la persona jurídica, exista mas de un Encargado de Cumplimiento, considerando la naturaleza jurídica de los distintos delitos que se incorporan como bases de la responsabilidad penal corporativa.
Así, frente a delitos de especial naturaleza, como los informáticos, sin perjuicio de la responsabilidad del oficial de cumplimiento / encargado de prevención de delitos en la implementación y supervisión del Modelo de Prevención, habrá otro encargado de un ámbito específico, con el que deberá existir especial coordinación para el desarrollo adecuado de los controles que establezca la organización.
Paulina Ravilet Mariangel* Abogada, Magister en Derecho de la Empresa. Subgerente de Riesgos y Cumplimiento de ACHS
Rebeca Zamora P.* *Abogada, Universidad de Chile y Máster en Política Criminal. Es docente de la Universidad Central en la cátedra de Derecho Penal y enseñanza Clínica del Derecho. Directora del Diplomado de Compliance e Integridad Corporativa de la Universidad Andrés Bello. Actualmente es Socia de HD Compliance y HD Systems para la certificación de programas de cumplimiento.