El 20 de junio del 2022, en Chile se promulgo la nueva ley de Delitos Informáticos 21.459, lo que nos permite estar dentro de los países avanzados a nivel LATAM, y por otra parte se adecua al convenio de Budapest, primer tratado internacional respecto de delitos cometidos a través de Internet y otras redes informáticas, que trata en particular el fraude informático, pornografía infantil, delitos de odio y violaciones de seguridad de red.
Esta nueva ley comenzó a regir el pasado 20 de junio de 2022, aunque ciertas normas procesales transcurridos seis meses desde la publicación en el Diario Oficial de un reglamento dictado por el Ministerio de Transportes y Telecomunicaciones, suscrito además por el Ministro del Interior y Seguridad Pública.
Es muy importante mencionar que las empresas tienen que analizar el impacto y cómo enfrentar la adecuación del sistema de gestión de seguridad de la información (ISO 27001), o de sus políticas y normas, que regulan el uso y protección de la información de la compañía, idealmente con la asignación de presupuesto de la alta dirección. Para dar una idea general, se citan algunas acciones:
Le puede interesar: Disrupción al Derecho
- Analizar la tipificación de delitos de la ley y luego relacionarlos en el contexto de los procesos, políticas y procedimientos de la empresa.
- Actualizar las políticas de seguridad de la información, que incluye la ciberseguridad, alineadas a la nueva ley 21.459.
- Capacitar en forma prioritaria a los directivos, gerentes y el área de Tecnologías de la información, y usuarios que manejan información confidencial y bases de datos, sobre todo en el intercambio con terceros, se debe revisar las prácticas que podrían generar incumplimiento de la ley.
- Revisar si se efectúan controles sobre privilegios de acceso, registros de logs, entre otros que permitan demostrar o indagar sobre algún delito informático.
- Si en la compañía, existe el Rol de Oficial de Seguridad de la Información, será este rol el que lidere estas acciones, sino podría ser el auditor interno el encargado.
Lo antes mencionado, es un mínimo de acciones, ya que dependerá del giro y de los sistemas que tenga implementada la empresa, lo que trato de enfatizar es que no hay que esperar a diciembre de este año, debido a que el cumplimiento de la ley requiere un trabajo en equipo y que es transversal a todas las áreas de la organización.
¿Por qué es importante considerar esta ley?
En el ámbito de la responsabilidad penal de las empresas, los delitos informáticos que introduce la nueva ley se incorporarán al catálogo de delitos de la Ley 20.393, que establece la responsabilidad penal de las personas jurídicas, siempre y cuando hayan sido cometidos en su provecho o interés directo o indirecto y haya sido consecuencia del incumplimiento de los deberes de dirección y supervisión.
La inclusión de esta nueva variedad de delitos a la Ley 20.393, impone a las empresas deberes de monitoreo, actualización y mejora continua que medirán su reacción y la forma en que los mecanismos de prevención y cumplimiento fueron puestos al día en relación con estos nuevos riesgos de naturaleza informática.
Cabe recordar que los delitos informáticos al interior de la empresa configuran la responsabilidad penal de la organización, no aquellos delitos que afecten a clientes pero que fueron cometidos por terceros que no pertenecen a la empresa.
Le puede interesar: Los Beneficios de una Gestión de Riesgos Digital
Entre los delitos que establece la nueva ley, se debe prestar especial atención el delito de receptación informática (Art. 6° Ley 21.459). Un ejecutivo o controlador de la empresa no puede desconocer ni simular desconocimiento sobre el origen de una nueva base de datos o la agregación de nueva información. Cuando resulta muy evidente que una base de datos no pudo haber provenido sino a través de un delito informático, se produce la responsabilidad penal de la empresa por receptación. Es importante el levantamiento de riesgos y el establecimiento de controles de mitigación de riesgo, como podría ser una auditoría preventiva y una vigilancia permanente sobre las bases de datos y la agregación de nueva información.
Otro delito que establece la nueva ley al que las empresas deben prestar atención es el delito de fraude informático (Art. 7° Ley 21.459). El inciso segundo establece que se considerará también autor al que, conociendo o no pudiendo menos que conocer la ilicitud de la conducta descrita en el inciso primero, facilita los medios con que se comete el delito. Cuando la ley se refiere a “facilitar los medios con que se comete el delito”, lo hace de una forma que puede interpretarse de manera bastante amplia. El término “los medios” puede abarcar desde un documento adulterado creado por personal de la empresa a través del cual se comete el fraude informático, o también podría ser el espacio físico de la empresa o la computadora que la empresa asigna a ese personal, etc.
Dentro de las normas procesales que establece la nueva ley, se destaca el deber de preservación provisoria de datos informáticos y la reserva de la diligencia (Art. 18 Ley 21.459) de 90 días prorrogable hasta 180 días.
Por lo tanto, para efectos de la gestión de riesgos y las medidas de prevención que deben adoptarse según el Art. 4° de la Ley 20.393, las empresas deben implementar medidas de mitigación que permitan reducir este tipo de conductas, tales como la incorporación de personal especializado relacionado con el área tecnologías de la información de la empresa, considerar las normas internacionales (ISO) de estandarización sobre la materia, entre otras medidas que identifiquen y gestionen los riesgos que pueden afectar a la compañía.
Lea también: Autenticación y Verificación de Datos para la Prevención de Riesgos
Excelente columna César, las organizaciones deben realizar análisis tanto para proteger su infraestructura y datos de la comisión de estos delitos por parte de terceros, como conocer las actividades de riesgo que presenta la organización a la hora de realizar su actividad e impedir que cometa alguno de estos ilícitos. Dos enfoques qué deben ser levantados en la matriz de seguridad y ciberseguridad, como en la de Responsabilidad, tal como indicas asegurar la continuidad operacional es lo que se debe buscar.