- Por Alexis Campos, CEO en Grupotech, www.grupotech.cl
Las cifras importan. Y cuando se usan mal, más todavía.
Hace pocos días, la rectora de la Universidad de Chile, Rosa Devés, declaró que las medidas de ciberseguridad exigidas por la Agencia Nacional de Ciberseguridad (ANCI) costarían nada menos que $3.700 millones de pesos. La cifra fue publicada sin pestañear, como si fuera razonable, sin contexto técnico y sin una base verificable. Como profesional del rubro y fundador de una empresa dedicada a soluciones tecnológicas, puedo decirlo con claridad: esa cifra es completamente desproporcionada, técnica y operativamente inviable para un plan estándar.
¿Qué implica realmente implementar ciberseguridad?
Cuando hablamos de cumplir con la Ley Marco de Ciberseguridad (Ley N° 21.663), nos referimos a la implementación de medidas que, si bien requieren recursos, están lejos de alcanzar los miles de millones que se mencionan. En términos generales, las obligaciones incluyen:
- Contar con un plan de respuesta a incidentes.
- Definir responsables de ciberseguridad.
- Implementar un SGSI (Sistema de Gestión de Seguridad de la Información).
- Realizar auditorías y evaluaciones de riesgo.
- Capacitar a los equipos.
- Entre otros puntos.
Todo esto puede requerir inversiones, pero incluso sumando personal especializado, herramientas, licencias, monitoreo, consultoría externa y pruebas técnicas, un plan bien diseñado rara vez supera los 200 o 300 millones de pesos anuales en una organización compleja, y mucho menos en una universidad con infraestructura TI ya establecida.
¿Dónde está el error?
El error está en comunicar de forma alarmista, inflando los costos sin detallar ni justificar la cifra. Y esto es especialmente grave porque genera desinformación en la opinión pública y desacredita los esfuerzos que se hacen desde hace años por tomarse en serio la ciberseguridad en Chile.
Peor aún, se posiciona a la Agencia Nacional de Ciberseguridad como un “enemigo burocrático” que impone normas imposibles, cuando en realidad está haciendo lo que por años se le pidió: ordenar, normar y prevenir.
¿Cuánto cuesta no invertir en ciberseguridad?
Aquí está la verdadera pregunta. Basta con mirar el caso del ataque a la misma Universidad de Chile en 2022, donde los daños operacionales, la fuga de información y el tiempo de recuperación implicaron una pérdida millonaria y una crisis de reputación que aún tiene secuelas.
Lo que no se invierte en prevención, se paga en recuperación.
¿Entonces por qué se infla la cifra?
Pueden haber muchas razones: desconocimiento técnico, falta de asesoría adecuada, o una estrategia comunicacional para justificar un conflicto con la ANCI. Pero desde la experiencia de más de una década asesorando instituciones públicas y privadas en temas de ciberseguridad, puedo asegurar que ningún plan serio, ni siquiera de nivel bancario, alcanza esos $3.700 millones.
Y si lo hiciera, sería el caso mejor financiado de la historia reciente en ciberdefensa local.
La ciberseguridad es necesaria. La exageración, no.
Que este sea el punto de partida para un debate informado, serio y con cifras reales.