En el marco del Mining Day, organizado por Deloitte, María Luisa Acuña, socia de Cyber en Deloitte, y Ruby Soteras, Socia Líder de Deloitte Legal, abordaron la ley marco de ciberseguridad y los efectos en la industria minera.
En la oportunidad, Acuña comentó que “el sector minero ha visto en los últimos 15 años un proceso de transformación digital enorme y muy necesario, pero que también ha ampliado la superficie de ataque ante un ciberataque y eso justamente hace que un sector tan importante en nuestra economía como este sea atractivo para ciberdelincuentes”.
La profesional añadió que “US$4,88 millones es la cifra que cuesta en promedio una fuga de datos de manera global, de acuerdo a información de IBM y Ponemon Institute, que recopila estudios de ciberseguridad y transmitir el impacto que tiene una filtración de datos”.
Ley marco de Ciberseguridad (N°21.663)
La ley marco comenzó a regir el 1 de enero de 2025, mientras que el deber de reporte empezó en marzo. En esa línea Ruby Soteras comentó que “esto podría ser relevante para la industria por la categoría de operadores de industrias que pueden ser proveedores de servicios esenciales u operadores de importancia vital. Los legisladores en esta discusión cuando se hablaba de servicios esenciales como telecomunicaciones o energía que claramente entran en esa categoría, se empezó a discutir si las mineras lo serán o no. Como no se pusieron de acuerdo en esa instancia, lo harán en una instancia administrativa donde la agencia nacional de ciberseguridad va a hacer un listado de operadores de importancia vital, y podrían estar las empresas mineras producto del rol crítico que juegan en cierta manera en bienes estratégicos del país como el cobre por ejemplo”.
A su vez, Acuña manifestó que “algo a lo que pone énfasis la ley es que tenemos que probar las acciones. Y la mejor forma de hacerlo, es a través de planes de cómo recuperarme ante incidentes de alta envergadura que pueda generar disrupción operativa, y que estos planes sean probados. La Ley entrega la obligación de esto. No es sólo el plan de continuidad que pueda tener disrupción en faena, sino también son todos los incidentes que puedan generar un efecto transversal en la organización producto de un ataque de ciberseguridad”.
En esa línea, la profesional sostuvo que “lo que se busca es evitar la improvisación, ya que con esto tomamos decisiones que no suelen ser las correctas y pueden ser mucho más costosas. Es importante contar con planes, estos tienen que estar probados y además certificados”.
Finalmente, Soteras afirmó que “con esto que indica la ley lo que se busca es tener a una industria más preparada en el momento de una crisis. Los operadores de importancia vital tienen el deber de reportar a la CSIRT los incidentes que tengan, sean ciberataques o incidentes de ciberseguridad que cumplan con ciertas características e impacto significativo. La alerta debe darla tres horas de tomar conocimiento del incidente, lo cual no es fácil de hacer dado que hay que hacer diversas acciones como informar de activos y recursos afectados, o también identificar los indicios del tipo de incidente”.