Ian Mabbott: "La ciberseguridad no le concierne a una sola organización sino a todo el país"

El asesor en ciberseguridad del gobierno británico, Ian Mabbott, tiene una larga trayectoria en las agencias de inteligencia de su país, como el Cuartel General de Comunicaciones del Gobierno (GCHQ). "En 2016, Reino Unido tuvo la última estrategia de ciberseguridad y es muy específica sobre la colaboración internacional, porque reconoce que Reino Unido es un país que tiene buenas defensas en ciberseguridad, pero es parte de la comunidad global y como el ciberespacio no respeta los límites nacionales, queremos asegurarnos que nuestros amigos en Chile y otros países están bien protegidos. Hay una oportunidad para compartir experiencias entre Reino Unido y Chile", dijo a La Tercera durante su paso por Santiago, donde analizó el tema y discutió sobre ciberseguridad en el Ministerio de Defensa.

Chile está preparando una ley de ciberseguridad, ¿cuáles son los aspectos clave que debe incluir esta normativa?

Debe asegurarse que la ley posibilite de manera apropiada una estrategia en ciberdefensa y eso significa tanto en el gobierno como en la industria. Así que puede que el gobierno necesite adquirir más información sobre los propósitos de la ciberseguridad. Eso tiene que hacerse a través de una ley. Tiene que haber una revisión de la legislación para ver si calza con el propósito en términos de la industria. Encontramos en ciertos países que la regulación en los servicios financieros ha desmotivado las actividades de ciberseguridad. En un país vimos que el regulador evitaba que los bancos se comunicaran entre sí y compartieran información, porque estaba preocupado sobre eventuales fraudes. Nuestra experiencia es que si regulas mucho provocas el efecto equivocado en la industria y ellos no van a cumplir. También se tiene que revisar la cibercriminalidad. Eso es importante. Tiene que estar claro que las leyes en el espacio físico real se pueden aplicar también en el ciberespacio.

¿Cuáles son las mayores amenazas a nivel internacional en ciberseguridad?

Hemos sufrido en Reino Unido incidentes terroristas. Otra área es la cibercriminalidad. Ha habido un crecimiento grande en el cibercrimen y ha afectado a todo el mundo. Chile no es el único que ha visto ataques a su sistema bancario. Además del cibercrimen siempre tienes ataques malévolos de los hackers, personas que tienen un problema o solo quieren probar las defensas de las organizaciones o del gobierno. Ellos no están normalmente orquestados en la misma forma que otros atacantes, pero pueden provocar efectos dañinos para la industria y el gobierno.

¿Qué medidas puede tomar un país para evitar esos ataques?

En términos generales, tal como Chile lo ha hecho, tiene que haber una estrategia muy clara sobre cómo se va a enfocar el tema de la ciberseguridad. Todos tienen que jugar un rol en la ciberseguridad. No es un tema que le concierne a una sola organización, sino que todo el país tiene cumlpir un papel. Es por eso que es necesario tener una estrategia. Es vitalmente importante darles a todos una visión, una perspectiva del rol que tienen que tener en la ciberseguridad, aunque claramente el gobierno tiene que ser quien lidere en la mayoría de los casos. También ciertos sectores en la comunidad lo hacen mejor que otros. En Reino Unido encontramos que el sector de la banca y las finanzas lo hace mejor que otros sectores, pero tenemos que tener una estrategia para todos los sectores. A menudo eso también significa que tenemos que asegurarnos que haya conciencia en el nivel más alto de esas organizaciones, como el director ejecutivo. Hay que dejarles claro cuáles son los problemas y los riesgos si no se adoptan estrategias de ciberseguridad apropiadas. Debido a que el tema es complejo, tiene que haber una suerte de programa nacional de ciberseguridad, en el que los roles y las responsabilidades estén muy claros en el gobierno y en la industria. En Reino Unido, por ejemplo, tenemos desde 2016 un Servicio Nacional de Ciberseguridad (NCSC) que en realidad está a cargo de la mayoría de las respuestas del gobierno para ese tema, tanto en términos de planificación como de las respuestas a los incidentes. Esa es una de las cosas que Chile tiene que considerar: cómo organizarse para tener políticas y estrategias de ciberseguridad. Igualmente, quizás haya cosas que tienen que ser reguladas para motivar a las organizaciones a que participen adecuadamente. Eso es muy importante y aprecio que Chile revise un poco la legislación. Uno de los aspectos críticos es que una organización no puede estar sola en la ciberseguridad. Se debe compartir información entre el gobierno y la industria.

¿Cómo afecta esto a las personas comunes?

Esto tiene que ver con el aspecto de toma de conciencia, porque hay dos elementos en este sentido: uno es la ciberhigiene, que es asegurarse que las personas entiendan cómo actuar de manera adecuada en la ciberseguridad. Las personas necesitan guía, conciencia e información. También están los hackers, que pueden ser personas que han desarrollado un interés en internet, redes y cosas como esa, pero no necesariamente tienen altas habilidades académicas y conocimiento. Es necesario detectar a la gente con esos antecedentes y ojalá desviarlos del cibercrimen.

En Europa se hizo una reforma a las leyes de protección de datos, ¿cuál es la importancia de esto?

Antes, cuando ocurría un ciberataque, si se usaba información personal (los gobiernos) tenían muy pocos poderes y castigos para la organización que no había protegido la información de manera adecuada. Las sanciones ahora son muy altas y eso puede ser importante para las organizaciones, porque ahora es relevante para ellos invertir en ciberdefensa.