Webinar Seguridad de los Datos - LeyDeDatos.com

Y qué es lo más importante de esta ley o<br>el centro del corazón y es un enfoque<br>basado en riesgos y no un enfoque basado<br>en tecnologías esto no va a prohibir el<br>uso de ciertas tecnologías sino más bien<br>va a limitar ciertos riesgos que no<br>queremos como afectar el los derechos<br>fundamentales de las personas entonces<br>este enfoque en basado en riesgo<br>clasifica las inteligencias artificiales<br>en cuatro sistemas el primero los<br>sistemas de riesgo inaceptable que están<br>definidos en el artículo 6 y nos da<br>siete ejemplos de los cuales le voy a<br>nombrar tres que son los sistemas de<br>categorización biométrica identificación<br>biométrica o sistemas de evaluaciones de<br>Estados emocionales que van a estar<br>prohibidos exceptuando ciertas<br>excepciones enunciadas en la misma ley<br>el no cumplimiento indica una<br>prohibición de este sistema y además una<br>multa que puede llegar a los 20000 ut<br>están los sistemas de alto riesgo que<br>tienen como ejemplo por ejemplo sistemas<br>biométricos para identificación y<br>control de acceso en servicios<br>esenciales inteligencia artificiales<br>para toma decisones en salud justicia o<br>crédito o para selección y evaluación de<br>candidatos en en puestos ofertas<br>laborales estos de alto riesgo están<br>definidos en el artículo 7 en el<br>artículo 8 se defin los requisitos que<br>tienen que tener las organizaciones para<br>poder usarlos y el no cumplimiento de<br>esta ley tiene una multa de hasta 10,000<br>ut luego están los de riesgos limitados<br>definidos en el artículo uno que son por<br>ejemplo los chatos que interactúan con<br>consumidores los sistemas de<br>recomendaciónes plataformas digitales o<br>los sistemas de Inteligencia artificial<br>para generar contenidos comerciales sus<br>requisitos están en el artículo 12 multa<br>también de 100000 utms y finalmente<br>hasta los sin riesgos evidentes que no<br>son definidos y por lo tanto tampoco<br>tienen multa pero podrían ser por<br>ejemplo videojuegos con Inteligencia<br>artificial pilos de spam sistemas de<br>Inteligencia artificial para análisis de<br>datos o para optimizar procesos<br>internos pueden ver más de esto en<br>nuestro linkedin también está el como<br>les dejamos el bí pueden ver este<br>proyecto de ley y sin más ahora vo dejar<br>a Ignacio Gallardo para que pueda<br>presentar a nuestros<br>invitados bueno Muchas gracias Rodrigo<br>Hola buenos días a todos<br>eh estamos muy contentos con la<br>convocatoria el día de hoy tenemos a dos<br>grandes exponentes en lo que se trata en<br>en derecho de las tecnologías protección<br>de datos y ciberseguridad y el día de<br>hoy eh vamos a hablar sobre un tema que<br>no se suele tocar mucho cuando se habla<br>de protección de datos eh siendo que un<br>tema que es transversal<br>a a todo lo que tiene que ver con los<br>sistemas de información y tema de<br>seguridad y esta estrecha relación entre<br>seguridad de la información y la<br>seguridad de los datos personales es lo<br>que queremos nosotr apuntar el día de<br>hoy eh abordaremos temas como las<br>mejores prácticas en materia de<br>seguridad explicaremos conceptos como la<br>gestión de riesgo brechas de seguridad<br>eh con la visión de nuestros dos dos<br>exponentes eh Y<br>que viene muy bien el día de hoy este<br>tema dado la la gran cantidad de casos<br>que han habido sobre todo este último<br>tiempo en relación a acceso no<br>autorizado a la información y<br>vulneraciones de datos personales en<br>esos accesos no autorizados y lo que se<br>conoce como las brechas de seguridad<br>eh recordarles también que al final del<br>de las exposiciones de cada uno de<br>nuestros oradores tenemos un espacio<br>para preguntas las cuales pueden<br>realizarlas a través del a través del<br>chat y bueno sin más vamos a presentar a<br>nuestro primer expositor él es Andrés<br>pumarino abogado especialista en<br>tecnologías protección de datos Y<br>ciberseguridad con más de 20 años<br>experiencia profesional es actualmente<br>socio de leway y destacado también por<br>como profesor docente en distintas<br>universidades e instituciones<br>educacionales destacando también el<br>magister de tecnología y inform y<br>gestión de la Universidad Católica y<br>miist de ciberseguridad de la<br>Universidad de Adolfo Ibáñez y así<br>podría seguir también con más y más<br>pergamino Así que dejamos a Andrés eh<br>para su exposición Muchas gracias<br>Andrés Muchas gracias Ignacio Muy buenos<br>días a todos a todas quienes están<br>conectados un gusto poder compartir con<br>ustedes esta jornada y bueno como bien<br>lo mencionaba ignao bueno pueden ustedes<br>acceder ahí a información que yo Estoy<br>permanentemente publicando a través del<br>código QR para a poder seguir en<br>contacto qué vamos y qué les tengo<br>preparado para el día de hoy Bueno la<br>importancia y el valor de los datos es<br>un elemento fundamental en el contexto<br>que vamos a analizar vamos a hacer el<br>cru entre la ley de protección de datos<br>la ley marco de ciberseguridad y me<br>gustaría profundizar en el tiempo que<br>tenemos eh unas breves recomendaciones<br>conclusiones frente a este nuevo entorno<br>que nos aborda en el contexto digital<br>que estamos viviendo particularmente en<br>el contexto chileno de esta economía<br>digital hace muchos años atrás en el<br>siglo pasado leí un libro de este señor<br>que se llama Alvin tofler toffler es lo<br>que los americanos le llamaban un<br>futurólogo este profesor de historia<br>norteamericano autor de libros como el<br>chock del futuro o la tercera ola<br>escribió en 1976 eh en su libro la<br>tercera ola de que los analfabetos o<br>prácticamente desde punto de vista<br>digital dice que los ignorantes del<br>siglo XXI no son aquellos que no sepan<br>leer o escribir sino aquellos que no<br>tengan la capacidad de aprender a<br>desaprender ese libro la tercera ola aa<br>de tres olas La ola agraria La ola<br>industrial y la ola de las<br>comunicaciones que le estaba<br>refiriéndose en 1976 a la llegada de lo<br>que era incipientemente Internet pero<br>hace unos meses atrás se publicó el<br>libro del señor mustafa Suleimán Y quién<br>es mustafa Suleimán mustafa Suleimán es<br>un emprendedor digital en ámbito de la<br>Inteligencia artificial lo que eh le<br>lleva incluso a tener una empresa por<br>allá al 2014 y venderla a Google en la<br>módica suma de más de 400 millones de<br>dólares esa empresa era eh in Mind Y esa<br>empresa luego fue adquirida por Google<br>para el desarrollo de aplicativos<br>desarrolla otra empresa que se llama<br>inflection y hoy autor de este libro<br>publicado hace unos TR cu meses atrás<br>año 203 sí Andrés un segundo que se ve<br>la presentación como<br>moderador Así que per ahí se ve Okay<br>este autor viene a señalarlo Mira se<br>viene una tercera después de la tercera<br>hora viene la Hola que viene y esta Hola<br>que viene es la Inteligencia artificial<br>y esa Inteligencia artificial destaca<br>fundamentalmente por la proliferación<br>abundante de herramientas que están<br>generándose frente al uso de esta<br>herramientas y el dato como elemento<br>para afrentar un nuevo uso explotación y<br>fundamentalmente impacto que va a<br>generar desde el punto de vista de la<br>riqueza punto de vista de los nuevos<br>desarrollos y aplicativos un libro<br>recomendado para todos aquellos que<br>quiere ir profundizándose en nuestro<br>entorno mustafa sulaimán es el<br>vicepresidente global de Inteligencia<br>artificial de Microsoft también hace<br>tres meses y está hoy asumiendo varios<br>roles de la creación del de productos<br>que prácticamente usamos día a día en<br>nuestro contexto en nuestro país el tema<br>del dato tiene un valor El mercurio lo<br>publicaba en<br>mercurio tomando un artículo de Wall<br>Street journal el año 2014 Cuánto valen<br>los datos porque los datos valen Qué<br>pasa hoy realmente el proyecto de ley<br>chileno ha tenido algunos nudos que han<br>ido entrampando el proyecto de ley ya lo<br>mencionaban al principio respecto de la<br>detención que ha tenido en el congreso Y<br>eso va a generar varias preocupaciones<br>donde incluso la carta que se envió a la<br>honorable cámara mixta desde punto de<br>vista del avance del proyecto habla y<br>nos deja en exposición respecto de Oye<br>Bueno vamos a tener que movernos más<br>rápido hay compromisos internacionales y<br>ya no podemos seguir esperando en el<br>contexto de esta economía digital más<br>aún hemos ingresado un proyecto de ley<br>de Inteligencia artificial que cree<br>dentro del rol que le da la agencia de<br>protección de datos funciones<br>importantísimas desde el punto de vista<br>de control pero hoy tampoco seguimos sin<br>avanzar en este proyecto de ley el<br>instituto de auditores internos ya lo<br>viene diciendo desde Algunos años la<br>ciberseguridad y la protección de datos<br>son preocupaciones y son retos que deben<br>asumir las organizaciones de hecho en el<br>informe 2024 publicado a comienzo de<br>este año la el instituto de a internos<br>ya nos dice que por lejos la<br>ciberseguridad es un factor crítico pero<br>Incluso en la mirada a 3 años más las<br>disrupción digital junto con el cambio<br>regulatorio son preocupaciones que<br>también tienen las organizaciones Desde<br>esa perspectiva Incluso en un informe<br>presentado por u a nivel latinoamericano<br>desde México hasta chile se le preguntó<br>Cuál es la importancia y los planes que<br>tienen los directorios en América Latina<br>desde México el mismo concepto así se ha<br>repetido los elementos los dos primeros<br>son temas económico el tercero<br>habilitación para innovación y<br>transformación digital cuarto El Talento<br>desarrollar habilidades competencias y<br>persona para este nuevo entorno y quinto<br>la supervisión de la ciberseguridad y de<br>la privacidad ocurre que en Chile en un<br>los reportes que nos entrega la cmf la<br>comisión de Mercado financiero ya nos<br>anuncia respecto de los desafíos que hay<br>en materia de transformación digital se<br>hace muy difícil desde el punto de vista<br>de que eh la conversación entre la alta<br>dirección la alta y además los equipos<br>directivos asuman y entiendan la<br>importancia que hay hoy en el contexto<br>de la ciberseguridad y la protección de<br>los datos cuesta comprender Cuáles son<br>los riesgos no lo entienden la alta<br>dirección dos se abordan los riesgos<br>cibernéticos pero de una manera muy<br>restrictiva siempre aplicando el Roy<br>investment cómo se cómo se habla en este<br>contexto de las compañías si no quieren<br>aplicar el Roy incluso para la<br>asignación de presupuesto las<br>prioridades simulacro no existen cuesta<br>encontrar que se hagan simulaciones<br>tener muy buenos planes directores de<br>ciberseguridad no nos ayudan dentro de<br>las compañías si no son puestos en<br>práctica si no hay un mecanismo de<br>seguimiento Y por último estos<br>directores y directoras son los que<br>están hoy necesitando tratar de<br>supervisar la revelación de información<br>para inversionistas y es es una<br>condición sine ecuanon que comienza a<br>operar en el contexto hoy dentro de las<br>compañías que están operando Entonces<br>nos encontramos en el escenario de que<br>el to of the top desde arriba marcar las<br>directrices en materia de ciberseguridad<br>en materia de gestión son habilitantes<br>Son elementos esenciales en el contexto<br>de cualquier gestión de las<br>organizaciones desde la gobierna o la<br>gobernanza en materia de ciberseguridad<br>asignación de presupuesto control<br>seguimiento y métrica como lo veremos en<br>la siguiente lámina en materia de<br>protección de datos Bueno cómo vamos a<br>abordar este tema yo me quiero centrar<br>en el gobierno de datos el gobierno de<br>datos entender Entonces como el conjunto<br>de personas procesos y tecnología cómo<br>vamos a abordar esta conjunto de<br>acciones para crear un manejo coherente<br>y adecuado en el uso de las tecnologías<br>de dentro de la organización aquí el rol<br>fundamental de este dpo que viene en el<br>proyecto de ley tres roles va a tener<br>que asumir medidas técnicas medidas<br>legales medidas organizativas eso es<br>crítico Dentro de este contexto medidas<br>técnicas adecuación de soluciones debe<br>ser pensadas en la relación a las<br>exigencias legales ayer en una reunión<br>de cisos me he encontrado con que por<br>una parte son las plataformas<br>tecnológicas y por otra parte son las<br>exigencias regulatorias que se nos<br>vienen no están conversando tenemos que<br>identificar esa exigencia que pide la<br>ley y el regulador de estar relacionad<br>para resolver las necesidad de la<br>organización y por último las medidas<br>organizativas que va a tener que liderar<br>este dpo como la capacitación la<br>conscientización de las diversas áreas a<br>nivel de la organización y por otra<br>parte qué vamos a ir encontrando la ley<br>Marcos ciberseguridad publicada el 8 de<br>abril de este año Ya bajo el número<br>21663 trae ciertos principios y dentro<br>de esos principios vamos a tener que ir<br>identificando particularmente el<br>principio de seguridad por privacidad<br>por proyecto por diseño lo mismo que en<br>materia de protección de datos por<br>diseño por defecto que también lo<br>incorpora el proyecto de ley Pues bien<br>deberemos ser conscientes de diseñar<br>implementar gestionar sistemas que<br>consideran la seguridad y la privacidad<br>de los datos desde su Concepción Y eso<br>significa que vamos a tener que actuar<br>de manera proactiva el equipo legal<br>desde va a tener que entrar al Core del<br>negocio e va a tener que conocer cómo<br>opera el negocio va a tener que<br>identificar los procesos ya no podemos<br>estar entregando informes en derecho<br>tenemos que aplicar esos informes en<br>derecho de acuerdo a la realidad de las<br>medidas técnicas legales y organizativas<br>no puede ocurrir que los isos a uno le<br>estén comentando me entregar un informe<br>en derecho y no entiendo cómo poder<br>aplicarlo porque no se vincula a los<br>procesos tenemos que ser capaces de<br>vincular a través de algunas<br>metodologías incluso la universidad de<br>Stanford desarrollando la metodología<br>legal design que deriva del design poder<br>desarrollar políticas procedimientos<br>protocolos mucho más entendibles a cada<br>una de las capas de la organización pero<br>también que sean conscientes del<br>respecto a la realidad organizativa Por<br>qué Porque la ley marco de<br>ciberseguridad nos va a presentar<br>diversos actores que van a estar<br>regulados por la agencia Nacional de<br>ciberseguridad estos sectores son<br>considerados una perspectiva de<br>servicios esenciales y vamos a tener que<br>ver que cada uno de ellos En su mirada<br>interna y partiendo de sus reguladores<br>van a tener que tomar medidas sobre su<br>aplicación cada uno de ellos tendrá que<br>tomar acciones concretas los los<br>reguladores particularmente van a ir<br>dictando normas hacia los regulados y<br>van a tener que ser capaces de poder<br>abordar Por lo tanto por dónde partimos<br>roles responsabilidades cómo vamos a<br>gestionar el dato como les decía Tenemos<br>que tener una estrategia la organización<br>debe asumir también niveles de<br>responsabilidad tres políticas procesos<br>debemos acostumbrarnos El caso de los<br>abogados a trabajar por procesos a<br>trabajar con workflow con herramientas<br>ya sea con bagi y dejar atrás lo que yo<br>le llamo la metodología apl a puro lápiz<br>y pasar desde la metodología ape a puro<br>Excel a una metodología donde trabajamos<br>con plataformas que nos ayuden a<br>gestionar almacenar con con sistema de<br>TR de trazabilidad de cada una de las<br>procesos y cada una de las gestiones a<br>nivel de la responsabilidades que<br>estemos asumiendo tener cultura y<br>formación eso es un esencial dentro de<br>las organizaciones no podemos desconocer<br>que chile es un Data Paradise en el<br>contexto que estamos hoy de un estatus<br>de estatus cub de regulación chile está<br>en una situación detenida no avanza Y<br>eso hace que seamos un Data parad vamos<br>a tener que ver cómo vamos a gestionar<br>las operaciones en materia de privacidad<br>y aquí le podrá despés profundizar mucho<br>más sobre esos roles en la auditoría<br>evaluación de impacto sobre la<br>privacidad y el mismo diseño de<br>privacidad que ya les he comentado todo<br>esto nos va a permitir tener un<br>inventario de privacidad Desde esa<br>análisis y esa perspectiva entonces las<br>preguntas que van a tener que ir<br>haciéndose frente a la recolección de<br>datos Cómo están definidos los derechos<br>de acceso se crea nueva Data están<br>siguiendo protocolos regulatorios los<br>tenemos hechos están conversando de<br>acuerdo a los estándares o en materia<br>del uso de los datos se encuentran en el<br>lugar o controles que nos permiten una<br>gestión de identidad y los sistemas de<br>gestión de identidad hoy vamos a tener<br>que redoblar los mecanismos tecnológicos<br>Y eso significa Cómo estamos generando<br>principio de privilegio mínimo monitoreo<br>Cuál es la zona de cobertura en que<br>estamos almacenando los datos no porque<br>digamos los datos en la nube son seguros<br>desde el punto de vista de de la mirada<br>a nivel del almacenamiento de los datos<br>Entonces los datos están cifrado tenemos<br>sistemas que nos permitan utilizar los<br>datos en un entorno seguro están<br>protegidos los activos de esos datos<br>como están hoy desarrollado Cómo se<br>comparten esos datos frente a personas<br>que tengan la tenemos la autorización<br>para compartirlo existen datos que estén<br>cifrados de manera integral De qué<br>manera vamos a ir abordando cada uno de<br>estos procesos y los archivos de<br>información están de datos están<br>claramente definidos se han implementado<br>son preguntas que tenemos que tener en<br>este radar que nos va a facilitar eso es<br>fundamental para nosotros desarrollar<br>una evaluación de impacto en materia de<br>protección de datos Desde esa<br>perspectiva lo más importante si no se<br>puede medir no se puede gestionar<br>entonces generar políticas son las<br>recomendaciones elaborar acciones<br>concretas asignar responsables revisar<br>los contrato del personal un contrato<br>Por qué es muy frecuente que me<br>encuentro que se le asigna por áreas de<br>recursos humanos o desarrollo personal<br>todos los mismos contratos para todos<br>igual y no cada uno tiene rolos<br>diferentes trabajar con estándares hizo<br>27,000 y la familia correspondiente de<br>ahí para adelante 26,001 2 La 26032<br>26701 en fin mecanismos que nos van a<br>permitir tener mecanismos de control Ah<br>y fundamentalmente para la alta<br>dirección y para el directorio<br>particular cómo queremos que esto se vea<br>desde la perspectiva de del directorio<br>desde la mirada del management desde la<br>mirada de las áreas operativas como van<br>a estar operando La regulación a nivel<br>tecnológico en Chile Entonces no vamos a<br>ir migrando he tenido algunas<br>discusiones con algunos doctores en<br>derecho que me dicen Mira todas esas<br>medidas no son soft Law y por lo tanto<br>no marcan dentro del hard Law el nivel<br>del derecho y eso nos obliga a estar<br>mirando siempre un modelo grc gobierno<br>Rigo cumplimiento nos dicen nuestros<br>amigos de isaca y ahí significa<br>estándares ve las prácticas regulaciones<br>que nos van a facilitar mi mirada y mi<br>postura siempre ha trabajemos en un<br>enfoque Más allá del derecho bajo un<br>enfoque de riesgo entendiendo el riesgo<br>como la incertidumbre del logro de los<br>objetivos de la organización dice la ISO<br>31000 estándares bien sea nis o ISO<br>cualquiera uno de ellos trabajando sobre<br>PS dcs en los estándares en materia de<br>tarjetas de crédito desarrollando<br>algunos de los estándares para la ISO en<br>materia de protección de datos<br>personales que ya la 27001 con sistema<br>de gestión de seguridad y la 27701 nos<br>facilitan todo esto esto incluso viene<br>mencionado en muchas de las normativas<br>que ustedes lo han visto publicado este<br>pequeño normograma que le llamo sobre<br>las normativas tecnológicas que están<br>impactando hoy en nuestro país no son<br>menores las exigencias que se nos van a<br>venir y vamos a estar obligados en un<br>contexto regulatorio cada vez más donde<br>el regulador siempre nos va a ir<br>poniendo la frase los más altos<br>estándares Cuáles son esos más altos<br>estándares habrá que verlo de acuerdo al<br>sector económico en que está la compañía<br>Bueno tengo pero no me he pasado el<br>tiempo quiero hacerles y vamos atentos a<br>a la siguiente presentación para poder<br>continuar con esta eh webinar con este<br>webinar Muchas gracias Andrés por la<br>presentación muy ilustrativa antes de<br>pasar con la siguiente presentación les<br>voy a mostrar de manera muy breve lo que<br>estamos haciendo en ley de datos voy a<br>compartir pantalla ahí Creo que sí dej<br>listo s entonces Esta es nuestra<br>plataforma Sas eh hoy día Les voy a<br>volver a mostrar módulo de registro de<br>actividas de tratamiento que es el<br>corazón a nuestro entender de cualquier<br>proceso de protección de datos porque<br>tenemos que entender las actividades que<br>estamos realizando en nuestra empresa y<br>entender los datos que están<br>relacionados entonces acá ustedes pueden<br>ver cor un<br>poquito la lista completa de todas las<br>actividades de tramiento de la<br>organización esto es una demo claramente<br>Y si yo hago clic en una de ellas voy a<br>poder ver directamente esta actividad de<br>tratamiento y yo debía haber llenado<br>previamente y hacer un un trabajo con<br>algún consultor que me apoyó o un<br>levantamiento que hice de manera interna<br>entonces si yo quiero modificar esto<br>pued evitar la actividad de tratamiento<br>y modificar todos los campos que están<br>descritos a continuación como el<br>responsable por ejemplo el encargado del<br>tratamiento si que hay un tercero<br>involucrado el departamento si este<br>proceso es activo o ya no se está usando<br>justificación de la base de solicitud<br>qué datos tengo qué base solicitud estoy<br>usando cuánta gente estoy involucrando o<br>sea todas las cosas que va a pedir la<br>ley porque esto es para cumplir la ley<br>básicamente cumplimiento normativo lo<br>voy a poder editar acá y después yo<br>puedo ir y guardarlo si es que es<br>necesario luego de esto podemos ver una<br>preevaluación de impacto o una<br>evaluación de impacto como tal entonces<br>la preevaluación de impacto por ejemplo<br>es un informe que se alimenta de<br>registro actividad de tratamiento y que<br>si uno va bajando va a encontrar que hay<br>un cuestionario acá Entonces el<br>cuestionario tenemos dos alternativas de<br>llenado uno llenarlo de manera manual<br>que consume tiempo o dos apoyarnos en<br>las tecnologías que hoy día están en el<br>mundo como la Inteligencia artificial y<br>hacer una eh pre propuesta o una<br>propuesta de evaluación de impacto con<br>el fin de poder tener una base con la<br>que trabajar y ahorrar tiempo Entonces<br>si ahora yo vuelvo al formulario que<br>este cuestionario que está acá tengo una<br>respuesta prellenada con lo que nos dice<br>la experiencia y los distintos manuales<br>de la rgpd por hoy respecto a estos<br>tratamientos y si es que no me gustan<br>como abogado las puedo por ejemplo<br>editar acá dicho eso les vamos a dejar<br>en el chat mi correo si es que quieren<br>una reunión para una demo hacer alguna<br>consulta ver la plataforma con mayor<br>detención y ahora sí sin más para mí es<br>un gusto presentar a nuestro segundo<br>invitado eh tiene un currículo muy<br>extenso Pero me quedo que es definido<br>por muchos como el Evangelista de la<br>privacidad tod en Chile Él es director<br>académico y del programa ejecutivo como<br>delegado de protección de datos de la<br>universidad Santiago y sin más dejo con<br>ustedes a<br>leocadio muchísimas gracias Buenos días<br>a todos mis queridos compañeros amigos y<br>entusiastas del mundo de la privacidad y<br>la protección de datos del otro lado de<br>la del Atlántico de chile les hablo<br>desde mi querida isla de Gran canaria en<br>islas canari en España y para mí es un<br>gusto También tener esta oportunidad de<br>de compartir con el compañero Andrés y<br>hablar un poquito de seguridad asociado<br>directamente a los programas de de<br>protección de Atos voy a intentar hacer<br>una visión como a mí me gusta y soy un<br>auténtico forofo del del contexto me<br>gusta poner las cosas en contexto Así<br>que le he puesto tema y el tema que le<br>he puesto es sin privacidad no hay<br>ciberseguridad posible bueno está mi<br>currículum no hablar precisamente de mi<br>currículum e en la última semana en la<br>última semana ha habido bastant<br>acontecimientos en el mundo de la<br>ciberseguridad últimos tiempos en en<br>España aquí tenemos algunos casos muy<br>interesantes eh un caso también muy<br>cercano en el en el tiempo como la la<br>app tro eh bastante utilizada en<br>muchísimas eh personas o por muchísimas<br>organismos eh sufren una una brecha de<br>seguridad el banco Santander se apenas<br>en dos semanas eh Y bueno Y est es un<br>pequeño resumen exactamente creo que de<br>los últimos cuatro o c días en España no<br>es decir empezamos con Banco Santander<br>telefónica iberdrola decatlón tick<br>Master eh Dirección General de tráfico<br>Eh bueno Y esto es un un goteo continuo<br>en ISO nos presenta un poco Cuál es el<br>escenario de de amenazas no el año<br>pasado presentó un informe y y y de<br>hecho hubo una actualización en marzo en<br>apenas 4ro meses después y nos pone en<br>el contexto digamos de las 10<br>circunstancias más importantes a las que<br>nosotros nos enfrentamos en el mundo de<br>la ciberseguridad no eh fundamentalmente<br>El compromiso en la cadena de suministro<br>eh Y se ve perfectamente en el caso de<br>Banco Santander y en el caso de<br>iberdrola eh campañas de desinformación<br>el aumento del autoritarismo de<br>vigilancia digital y la pérdida de<br>privacidad errores humanos y sistemas<br>heredados ataques dirigidos vale falta<br>de análisis y control de La<br>infraestructura amenaza de las aumento<br>perdón de amenazas híbridas escase de<br>habilidades los proveedores de servicios<br>TIC transfronterizo como único punto de<br>falla y también el abuso también de la<br>de la Inteligencia artificial veréis que<br>aparece en el top 10 de amenazas más<br>importante por poner un pequeño botón de<br>muestra eh la extorsión del ransomware<br>Cómo ha ido evolucionando en los últimos<br>tiempos hemos ido pasando de la<br>extorsión única a la doble extorsión a<br>eh A través de la infiltración a la<br>Triple extorción A través de la<br>denegación de servicio a través de<br>ataques de dos a la cuádruple extorsión<br>directamente con e la la actuación por<br>parte de los operadores de ransomware e<br>comunicándose directamente con los<br>clientes y con las partes interesad de<br>la víctima lo que Agrega una mayor<br>presión a la víctima Y a eso hay que<br>Añadir además eh un vector nuevo una<br>quin extorsión que se centra<br>fundamentalmente en contactar con la<br>competencia de las víctimas Esta es la<br>realidad a la que nosotros nos<br>enfrentamos Pero además vivimos en un<br>mundo regulado un mundo que en materia<br>de privacidad y protección de datos Está<br>en fase expansiva a nivel mundial donde<br>más del 75 por casi el 80% de la<br>población mundial se encuentra bajo<br>alguna norma en materia de protección de<br>datos donde en escenarios como el caso<br>de Estados Unidos está teniendo una un<br>avance muy muy pronunciado No aquí se ve<br>justo esta última modificación gráfica<br>ya hay 18 estados dentro del propio país<br>que cuentan ya con con normativa ya<br>aprobadas en materia de de de privacidad<br>y protección de datos Y además ha cogido<br>impulso la el nuevo proyecto de de<br>privacidad Estatal para los Estados<br>Unidos fruto también un poco de las<br>negociaciones también con la Unión<br>Europea Pero dónde nos encontramos en<br>realidad no en el contexto europeo y<br>quiero hacer una visión de Europa para<br>entender un poco el contexto o la<br>importancia de la seguridad eh Como un<br>elemento que que que siendo vertebrador<br>no es el fin sino un medio que es lo que<br>vamos a intentar plantear eh<br>precisamente vamos a centrarnos en lo<br>que es la agenda digital 2030 de la<br>Unión Europea no que se basa<br>fundamentalmente en cuatro en cuatro<br>Pilares básicos no las skill en una<br>población digitalmente capacitada y<br>profesionales digitados altamente<br>cualificados en temas de<br>infraestructuras digitales segura y<br>sosteni en un impulso a la<br>transformación digital de las empresas y<br>sobre todo eh eh un impulso también a a<br>la motorización en este caso de la<br>Administración pública a través de la<br>digitalización de los servicios públicos<br>no en todo este contexto de esta agenda<br>digital 2030 qué espacio ocupa el<br>reglamento general de protección de<br>datos y por tanto la protección de los<br>datos personales Y por tanto el tema que<br>nos tra aquí que es la seguridad de los<br>datos personales Cuál es la posición<br>bueno la siguiente slide pone de<br>manifiesto que el reglamento general de<br>protección de datos No es otra cosa sino<br>la piedra angular del proyecto de<br>construcción del proyecto europeo dónde<br>pone el énfasis Europa construye su<br>estrategia sobre el reglamento general<br>de protección de datos cambia su modelo<br>reactivo del año 95 la directiva<br>95/46 por un modelo proactivo con una<br>alta rendición de cuentas impulsado por<br>el accountability que se centra<br>fundamentalmente en el artículo 5.2 y el<br>artículo 24 un de su reglamento con un<br>enfoque a riesgos a derechos y<br>libertades no desde ahí<br>la seguridad se convierte en un Pilar<br>vertebrador en el medio para conseguir<br>el fin que no es otro sino garantizar la<br>protección de los derechos inherentes de<br>la personalidad Y la protección de los<br>derechos fundamentales y libertades<br>fundamentales de las personas desde ahí<br>en el contexto de este derecho europeo<br>de datos tenemos junto al reglamento<br>general de protección de datos Pues todo<br>un compendio de normas este año con dos<br>aportaciones muy importantes al<br>ecosistema Cómo es eh el reglamento de<br>Inteligencia artificial que está a<br>puntito de de ser publicado y también la<br>la la Data act como eh digamos eh fruto<br>de de ese esfuerzo por delante que nos<br>queda eh También la el reglamento de de<br>del espacio europeo de datos sanitario y<br>algunas otras iniciativas bueno Hagamos<br>una pequeña recapitulación para colocar<br>un un terreno común y creo que es<br>importante no Y aunque se supone que<br>todos los que estamos aquí entendemos<br>claramente que es ciberseguridad pero<br>creo que es importante que pongamos en<br>nombre y apellido alguna alguna de estas<br>cuestiones No mira reconocemos que para<br>muchas empresas muchos empresarios<br>muchos<br>profesionales de la dirección de empresa<br>y Andrés ha hablado de un aspecto que es<br>importante que es el mundo del grc el<br>mundo de la la del gobierno riesgo y<br>cumplimiento como un elemento Core para<br>gestionar todos los proyectos que tienen<br>que ver con con datos Y con datos<br>personales pero nosotros reconocemos que<br>la mayor parte de los miembros de las<br>juntas directivas de del alto directorio<br>pueden que no se sientan seguro en<br>materia de sus conocimientos en materia<br>de seguridad cibernética y tratan de<br>delegar esto en en otros profesionales<br>de hecho el propio término<br>ciberseguridad no siempre se comprende<br>de una forma correcta para empezar<br>algunos términos como doble factor<br>autenticación vale marware software<br>Hardware router d2 brecha hacker<br>fireware antivirus foran parte digamos<br>de de de un uso de de la lengua eh de la<br>comunicación que es ajeno Y que hace<br>muchas veces ruido al oído de la de la<br>alta dirección Pero qué es la<br>ciberseguridad Bueno pues es la forma en<br>que las personas y las organizaciones<br>reducen el riesgo de sufrir un<br>ciberataque no la función principal de<br>la ciberseguridad es proteger los<br>dispositivos que todos utilizamos y los<br>servicios los que accedemos a través de<br>esos dispositivos no y fundamentalmente<br>se trata de evitar el acceso no<br>autorizado a los Grand a grandes<br>cantidades de información que nosotros<br>almacenamos en nuestro dispositivo ya<br>sea un premis o o en entorno Cloud Pero<br>qué es la ciberseguridad de verdad qué<br>mitos y cuál es la realidad vamos vamos<br>a hablar de tres mitos que creo que es<br>importante que que eliminemos de de de<br>nuestra mente el primer mito Es que la<br>seguridad cibernética es demasiado<br>compleja para que yo la entienda y esto<br>es un problema que tenemos de<br>conversación con la alta dirección y por<br>eso echan balones fuera hacia otro lado<br>pero lo cierto Lo cierto es que la<br>realidad es que la mayor parte de los<br>riesgo a los que nosotros nos<br>enfrentamos vale<br>eh están al alc nuestro a la hora de<br>tomar decisiones no Yo siempre digo que<br>las áreas de de alta de alta dirección<br>no siempre tienen formación en temas de<br>marketing y toman decisiones en temas de<br>marketing no todos tienen formación en<br>materia financiera y toman decisiones en<br>materia financiera no todos tienen<br>formación en materia estratégica y toman<br>decisiones en materia estratégica por<br>tanto no tenene formación no tiene<br>conocimiento en materia de seguridad<br>cibernética no les exime de tomar<br>responsabilidades desde el punto de<br>vista de la gestión de un riesgo que es<br>Core eh a directamente la la la<br>actividad no Ah esto es importante que<br>nosotros lo lo pongamos en en debido<br>contexto Y esto no es una excusa e para<br>tomar decisiones el segundo mito es que<br>los ciberataques son sofisticados que no<br>podemos detenerlo Y esta es una falacia<br>de hecho la mayoría de los ataques<br>todavía se basan en técnicas muy bien<br>conocidas como son los correos<br>electrónicos el fising por ejemplo<br>hablamos de la ingeniería social y<br>muchos de los elementos vertebradores de<br>de de las distintas estrategias en<br>materia de ingeniería social pone de<br>manifiesto que estamos ante una práctica<br>repetida Sencillamente cambiando en la<br>vestidura con la que esta se se<br>manifiesta o se presenta delante de<br>nuestra puerta y la tercera gran falacia<br>o la tercera gran mito es que los<br>ataques Cibernético está muy dirigido y<br>que es muy poco probable que nuestra<br>organización sea lo suficientemente<br>interesante o valiosa para los atacantes<br>falso falso los ataques cibernéticos<br>están muy dirigidos no en realidad la<br>mayoría de los ataques cibernéticos son<br>oportunistas y no son dirigidos eh Y el<br>perpetrador el perpetrador Busca<br>aprovechar una vulnerabilidad en un<br>sistema sin est particularmente<br>interesado en quién sea la víctima<br>ejemplo por ejemplo los ataques de<br>ranong de comaki del año 2017 como botón<br>de muestra Sencillamente un poco para<br>poner esto un poco en contexto voy a<br>poner esto un poco en contraste con eh<br>un caso que es eh Ya tiene Algunos años<br>tiene 9 años hace 9 años en octubre del<br>2015 hubo una filtración eh que lo<br>sufrió digamos la la la empresa ttac eh<br>que llegó a los titulares de de todo el<br>Reino Unido no los atacantes explotaron<br>una vulnerabilidad en el sitio web de la<br>empresa que les permitió acceder<br>directamente a toda la información que<br>contenían a eh la base de datos que que<br>subyacía en detrás la base de datos<br>contenía información personal de los<br>clientes incluido nombres direcciones<br>correo electrónico fechas de nacimiento<br>números de teléfono bueno a temas datos<br>que llamaríamos datos normales dentro de<br>lo que sería la estructura del gdpr se<br>accedió de alguna forma casi los<br>registros de 160 160,000 clientes de la<br>de La Firma La pregunta es Cuál fue el<br>impacto en esta organización como<br>resultado de esta brecha que afectó a<br>estos 160,000 vamos a ver los números<br>creo que los números no mienten no<br>101,000 suscriptores se fueron vale 60<br>millones en libras esterlinas de Pérdida<br>total en ese trimestre vale 15 millones<br>de libras estelina de impacto comercial<br>a entre 30 y 45 millones de costes<br>excepcionales hay que recuperar los<br>sistemas hay que recuperar también la la<br>imagen de marca en la organización y a<br>eso hay que añadirle siempre digo que es<br>el mal menor 400000 libras esterlinas de<br>multa del ico que es la autoridad de<br>protección de Atom<br>lección lección cuando se pone el<br>énfasis en que deberíamos impulsar el<br>cumplimiento de la normativa de<br>protección de datos para evitar<br>sanciones<br>administrativas estamos mal entendiendo<br>el objetivo de la normativa de<br>protección de<br>datos Porque la sanción administrativa<br>es la menor de las<br>preocupaciones que debería afectar el<br>comportamiento de una alta dirección y<br>ahí los números no engañan señores los<br>números no engañan y como este podíamos<br>presentar infinidad de de pruebas y de<br>evidencia para para ilustrar esto Dijo<br>en su informe elco el hecho de que talt<br>no implementara las medidas de seguridad<br>cibernética más básica permitió a los<br>piratas informáticos perpetrar penetrar<br>los sistemas con facilidad dice sí la<br>piratería está mal pero eso no es una<br>excusa para que las empresas ad diquen<br>de sus obligaciones de seguridad y una<br>lección que también publicó en este caso<br>la comisionada del ico dijo la multa<br>récord de hoy actúa como una advertencia<br>para otros de que la seguridad<br>cibernética no es una cuestión de ti es<br>una cuestión de sala de juntas las<br>empresas deben ser diligentes y<br>vigilantes deben hacer esto no solo<br>porque tienen un deber ante la ley y ahí<br>está la elección sino porque tenemos un<br>deber para<br>con nuestros clientes y aquí el punto de<br>inflexión al que quiero hacer hincapié<br>tenemos que buscar un equilibrio señores<br>entre preocuparnos<br>y ocuparnos dicho esto está colocado<br>digamos un escenario de contexto vamos a<br>responder a la pregunta creo que más<br>importante que he querido plantear en<br>como tema central no Por qué sin<br>privacidad No puede haber ciberseguridad<br>voy a explicar esto porque lo he<br>explicado en muchísimos sitios porque<br>hay una tremenda confusión en algunos<br>entornos de que protección de datos se<br>cubre directamente con una estrategia de<br>seguridad de la información Cuando se<br>llega a esa conclusión lo que se pone de<br>manifiesto es que hay un clarísimo<br>desconocimiento de Qué es o cuál es el<br>objeto de la protección en el que<br>deberíamos entrar nuestra atención Mirad<br>la ciberseguridad tiene como fin último<br>en principio la protección de las<br>entidades y las personas a través de la<br>protección de los sistemas vale Y para<br>eso desplegamos medidas técnicas<br>organizativas y jurídicas el factor<br>humano es clave detrás de todas estas<br>garantía sin embargo si la información<br>personal de cada individuo queda<br>expuesta Bueno pues este individuo puede<br>ser vulnerable a ataques de ingeniería<br>social especialmente dirigido a sus<br>debilidades no y también de esta forma<br>el atacante podrá alcanzar tanto a la<br>organización como a los propios<br>individuos que pertenecen a la<br>organización sorteando las distintas<br>protecciones tecnológicas que nosotros<br>podamos desplegar como parte de nuestra<br>estrategia para el sistema de gestión de<br>seguridad de la información por tanto la<br>lección es muy clara lo he dicho antes<br>la ciberseguridad no es un fin en sí<br>mismo sino un medio un medio repito un<br>medio para proteger a las organizaciones<br>y a las personas para eso nos valemos de<br>medidas Cuáles son las naturalezas de<br>las Med lo comentado antes muy bien<br>Andrés verdad medidas organizativas<br>medidas técnicas medidas jurídicas pero<br>pero sabéis detrás de estas medidas<br>desplegadas implementadas mantenidas<br>monitoreadas estamos las personas que<br>las seleccionamos las diseñamos las<br>instalamos las configuramos las<br>activamos o las desactivamos las<br>empleamos las cumplimos las controlamos<br>Y eso que nos dice nos dice que en<br>realidad las personas se convierten en<br>una de las principales vulnerabilidades<br>de los sistemas de información por tanto<br>la información personal los datos los<br>metadatos el entorno social y familiar<br>nuestra huella digital a título<br>particular las claves criptográficas<br>etcétera de todo y cada uno de nosotros<br>se encuentran eh tras las medidas de<br>ciberseguridad se pueden convertir en<br>una de las principales vulnerabilidades<br>que pueden ser recopiladas y explotadas<br>por por la<br>ciberdelincuencia el informe del inbe<br>con respecto al año 2023 es muy claro en<br>el caso español no un 24 por de aumentos<br>de incidentes con respecto al año<br>anterior no exactamente<br>83.517 incidentes con<br>18307 sistemas vulnerables no con ah<br>fijaros eh Un aumento bastante bastante<br>importante sobre todo de los eh<br>denominados incidentes de peligrosidad<br>alta o muy alta eh el<br>52,83 por 22,000 empresas afectadas más<br>de 58,000 ciudadanos víctimas<br>directamente de incidente y y eso dónde<br>nos coloca nos coloca en en que el<br>riesgo más peligroso señores es aquel<br>que se haya diseñado atendiendo a las<br>peculiaridades de cada uno de los<br>individuos que conformamos nuestras<br>organizaciones por tanto recoger<br>información sobre todos y cada uno de<br>nosotros vale Ah puede ser una puerta de<br>entrada directamente a las<br>organizaciones y ha ser permeable<br>directamente la seguridad organizacional<br>Más allá de lo que se pueda recoger no<br>los datos Y muchas veces centrándose<br>muchas veces en esas debilidades que han<br>sido evaluadas a partir de nuestro<br>perfil de compra de geolocalización de<br>creencia de valores de miedo de deseos<br>En definitiva de esa huella o perfil<br>digital que nosotros vamos dejando<br>directamente en nuestro entorno por<br>tanto decimos claramente que la<br>protección de datos trasciende los<br>límites de la organización y tiene un<br>Impacto en el individuo y y en la<br>sociedad no las organizaciones eh saben<br>que eh Y tienen dentro de su estrategia<br>la protección sobre todo de de su<br>personal más vulnerable no eh del que<br>tiene más alta capacidad de que tiene<br>las credenciales más importantes no seo<br>siso coo vale o cualquiera de los eh de<br>la de la de las cadenas c Suite no son<br>puertas de entrada directamente sin<br>embargo todos estos roles están ocupados<br>siempre digo por personas personas que<br>por muy importante que seamos en la<br>estructura jerárquica y de poder de una<br>organización somos clientes o usuarios<br>de una red social somos cliente o<br>usuario de una entidad financiera somos<br>cliente usuario de seguros somos cliente<br>usuario de marketing somos cliente o<br>usuario de la red sanitaria somos<br>cliente o usuario de ese sistemas de<br>administraciones públicas o de<br>plataformas de contenido etcétera<br>etcétera y esto dónde nos coloca en el<br>hecho de que somos clientes digitales y<br>precisamente a través del de esa<br>acumulación de información que nosotros<br>podemos ir dejando podemos abrir<br>directamente la la la oportunidad<br>directamente para que Ah se puedan<br>provocar eh incidentes A través de la<br>acumulación y acceso a datos a través de<br>la filtración de dicha información a<br>través de brechas de datos a través de<br>un empleo poco ético o claramente<br>ilícito eh o a través de la generación<br>de información eh clave sobre<br>vulnerabilidades de digamos de cada uno<br>de nosotros de nuestras organizaciones o<br>de las organizaciones de las que<br>formamos parte Bueno este esto que hay<br>que quiero comentar es Sencillamente<br>para que entendamos cuál Debería ser la<br>estrategia la estrategia señores los<br>principios orientadores de la seguridad<br>no lo vamos a encontrar técnicamente en<br>la seguridad porque hemos dicho que la<br>seguridad es solo un medio no el fin<br>Entonces qué principios orientadores nos<br>van a ayudar realmente a mejorar el<br>estatus de seguridad de nuestros datos<br>personales Sin lugar a duda el principio<br>de limitación de finalidad el principio<br>de conservación y comunicación de datos<br>entre otros vale el principio de<br>minimización de datos que coincide con<br>el principio de mínimo privilegio que<br>antes se ha comentado con el tema de los<br>eh famosos controles de acceso a los<br>sistemas de información cuarto el<br>principio responsabilidad proactiva y un<br>quinto elemento un quinto bloque que es<br>el principio de protección de datos por<br>diseño y por defecto señores la pérdida<br>de privacidad convertirá a las personas<br>en objetivos vulnerables de esta forma<br>arrastrará a la inseguridad a las<br>entidades u organizaciones en las que<br>nosotros nos encontramos y Estos<br>principios van a ayudarnos a acumular<br>esa información y que esa información<br>pueda eh afectarnos a nosotros desde un<br>punto de vista de la de la seguridad un<br>punto de vista de de la privacidad eh en<br>algunos casos para conseguir el<br>propósito el atacante ya no será<br>necesario comprometer los sistemas<br>cuando la privacidad cuando nuestra<br>intimidad cuando nuestro libre albedrío<br>de de de cada uno de nosotros est<br>comprometido simplemente condicionado<br>se podrá materializar un ataque<br>directamente al corazón de una<br>organización o al corazón de cualquiera<br>de los estados en los que nosotros nos<br>conformamos por eso es importante la<br>privacidad porque sin el enfoque de la<br>privacidad los objetivos finales de la<br>ciberseguridad disculpad me está sonando<br>ya la temporizadora a cabo sin el<br>enfoque de la privacidad los objetivos<br>finales de la ciberseguridad se van a<br>ver comprometidos desde el minuto uno la<br>ciberseguridad sin privacidad encuentra<br>su hábitat en regímenes donde existen<br>carencias en el estado de derecho y en<br>las garantías democráticas y la gran<br>lección es cuando la ciberseguridad<br>actúa sin privacidad tendrá un objetivo<br>distinto a la protección de los<br>individuos en su esfera individual y<br>social y será más una herramienta para<br>el control y limitación de los derechos<br>y libertades de los ciudadanos lo<br>podemos ver en muchos países con con<br>sistemas autocráticos lección con la<br>triada garantizando la confidencialidad<br>integridad la disponibilidad que es<br>requisito en el propio reglamento<br>general de proteccion y que es también<br>requisito en el proyecto de ley con esto<br>no cubrimos en absoluto el riesgo de<br>seguridad en relación con nuestros datos<br>personales Esta es una parte de la<br>vestidura Cuál es la otra parte la otra<br>parte<br>son la desv vinculaba el control y la<br>transparencia con esto podemos formar<br>todo un pack perfecto con el que<br>nosotros hacer frente directamente al<br>desafío de la seguridad de nuestros<br>datos el modelo español además añadimos<br>dentro del esquema nacional de seguridad<br>dos propiedades más de la información<br>que es la autenticación y la<br>trazabilidad y el reglamento añade<br>también la importancia de la resiliencia<br>y la capacidad de restaurar la<br>disponibilidad técnica en caso de una<br>caída y todo esto tanto la protección de<br>datos del diseño como también el la las<br>medidas de seguridad en el reglamento<br>están condicionados por uno de los<br>elementos que pocas veces hablamos de<br>ello que es el estado de la técnica y<br>uno se pregunta dónde se sitúa en este<br>escenario el estado de la técnica lo<br>veréis estado de la técnica se encuentra<br>entre los conocimientos científicos e<br>investigaciones exist<br>y las reglas o normas Generalmente<br>aceptadas bordeadas por el<br>reconocimiento general y y la y probado<br>en en en la técnica muchas veces nos<br>encontramos ante una evolución de los<br>modelos existentes para llegar a modelos<br>que denominaría con el tiempo de forma<br>pausada y asentada en lo que serían<br>buenas prácticas como bien nos demuestra<br>el famoso ciclo de de garner El hiper<br>cclo en materia digamos de de evolución<br>tecnológica he querido poner un pequeño<br>botón de muestra y con esto acabo<br>precisamente para para entender esto no<br>pensemos por ejemplo en en los sistemas<br>de seguridad Cuando hablamos de eh<br>antiguamente Hablamos siempre de<br>antivirus antimalware y ahora se nos ha<br>ido añadiendo a través de ese desarrollo<br>tecnológico una serie de soluciones<br>nuevas que probablemente muchos de<br>nosotros ya la estamos utilizando o<br>estamos pensando en migrar hacia ell no<br>edr mdr ndr xdr como un modelo eh que<br>nos pone en en en en en la el escenario<br>central o en la idea central de que el<br>riesgo es Dinámico que es el primero de<br>los grandes principios que nos dice dice<br>la ISO 31000 riesgo Dinámico por tanto<br>las medidas de seguridad tiene que estar<br>acorde al Estado de la técnica y no<br>podemos plantear esto fuera de una<br>estratégica de una estrategia<br>eh digamos moderna actual teniendo en<br>cuenta la naturaleza el alcance el<br>contexto y las propias finalidades de<br>los tratamientos de datos que nosotros<br>tenemos pres present como conclusión<br>Sencillamente recordar digamos los<br>cuatro elementos fundamentales no que he<br>querido plantear no uno el escenario<br>actual nos encontramos rodeados de<br>ciberincidentes donde la<br>cibercriminalidad y los actores de<br>amenaza eh exigen de nosotros una<br>reorientación en la estrategia nos<br>encontramos ante un impulso de nuevas<br>regulaciones internacionales y<br>nacionales eh se ha hablado el proyecto<br>de ley de Chile de protección de alos<br>proyectos en materia de Inteligencia<br>artificial hablamos de los objetivos<br>recordar que la ciberseguridad tan solo<br>es un medio no es el fin no y que el<br>vector de ataque más importante son Y<br>seguirán siendo en las personas y por<br>último para concluir recordar la la<br>clave que es un poco el tema que querido<br>presentar es que sin privacidad señores<br>no hay ciberseguridad posible porque la<br>ciberseguridad se centra en la<br>protección de la de las organizaciones<br>en su perímetro interno mientras que la<br>privacidad protege a las personas en el<br>perímetro externo y desde ahí de paso<br>protegen a las organizaciones Así que<br>Les animo a todos a a a tomar acción de<br>verdad y y y adelantarse sin a a a<br>aplicar ya proyectos de implementación<br>en materia de de gobierno riesgo y<br>cumplimiento en materia de protección de<br>datos no hace falta esperar a que las<br>normas o la ley se se apruebe porque<br>nuestros ciudadanos nuestros clientes<br>nuestra familia nuestros amigos se<br>merecen lo mejor de nuestras<br>organizaciones con esto concluyo<br>Gracias muchas gracias leocadio por tu<br>presentación eh Y por tu llamado a la<br>acción para empezar a tomar medidas<br>desde ahora mismo eh vamos a pasar a a a<br>las preguntas hay varias preguntas del<br>público vamos a tratar de abordar la<br>gran parte de ellas voy a dirigirles a<br>cada uno ya un poco más dirigidas las<br>preguntas porque algunas tienen que ver<br>con la realidad de chile y otras con con<br>una visión más más internacional eh<br>Andrés quería partir contigo con esta<br>pregunta respecto a algo que mencionaste<br>eh En cuanto a Qué medidas podrían<br>adoptar los estudios jurídicos eh Y<br>también abarques a consultorías o<br>asesores en general para adaptarse a las<br>nuevas exigencias de la ley Cuáles<br>serían tus recomendaciones eh En este<br>sentido bueno Muchas gracias Ignacio y<br>también por la pregunta fundamentalmente<br>tenemos que entender algo en primer<br>lugar el uso intensivo de la tecnologías<br>de la información forma parte también de<br>la labor y la gestión de los abogados<br>esto viene desde la facultad de derecho<br>que tenemos que enseñar también a las<br>futuras generaciones respecto del uso de<br>est estas tecnologías no basta solamente<br>usar enseñar la ofimática Word Excel<br>Powerpoint tenemos que enseñar también<br>una un uso eh productivo de estas<br>herramientas y eso aplica sobre<br>distintos tipos o metodologías que uno<br>puede estar estrañando dos en el<br>ejercicio nuestra profesión los abogados<br>tenemos un deber fundamental de asumir<br>un compromiso ético responsable desde el<br>punto de vista del cuidado de nuestros<br>datos de nuestros clientes Y eso<br>significa respetar la información que<br>tenemos y que llega nuestro poder bien<br>sea por vía digital o por vía papel<br>debemos ser conscientes del cuidado de<br>esa información tres las oficinas vamos<br>a tener que empezar a gestionar desde<br>tener nuestros sistemas de repositorio<br>mecanismos de control de acceso datos<br>esto nos obliga a mejorar cada vez cada<br>vez más nuestras medidas digitales eh lo<br>que decía bajo la lógica de de la<br>privacidad y desde el punto de vista de<br>la ciberseguridad pero hay que agregar<br>un concepto tenemos que pensar también<br>que las organizaciones hoy en nuestro<br>país y en varias partes de América<br>Latina se están transformando<br>digitalmente concepto que ha sido muy<br>manoseado de hecho la ley 21180 que es<br>la ley de transformación digital pero yo<br>creo que no hay transformación digital<br>sin ciberseguridad esto es un e<br>fundamental a nivel de los procesos<br>porque el avance de la transformación<br>digital que está hoy incorporando el<br>estado También muchas empresas las<br>oficinas de abogados tienen que avanzar<br>en esta lógica lo pueden hacer las<br>grandes por supuesto pero las pequeñas y<br>las medianas no pueden quedarse abajo<br>debemos ser cada vez más conscientes en<br>el uso de nuestros Correos en el uso de<br>la información y por lo tanto tenemos<br>que estar conscientes que estamos<br>inmersos como profesionales en el<br>ejercicio de nuestra profesión ahora<br>desde el punto de vista del<br>asesoramiento y acompañamiento si un<br>abogado va a hablar de protección de<br>datos va a entrar en el interno desde el<br>punto de vista de las implementaciones<br>desde un diagnóstico desde una<br>implementación a ninguna compañía solo<br>no puede quiere tener una mirada también<br>técnica y des esa perspectiva muchas de<br>las medidas técnicas que ha mencionado<br>locadio tanto para el mecanismo<br>preventivos para incidentes como también<br>para ataques recordemos que nuestra<br>legislación divide dos tipos de<br>conceptos uno los incidentes y otro los<br>ataques desde el punto de vista si<br>interviene un tercero o si es una falla<br>dentro de los sistemas eh a nivel des<br>del punto de vista de la ley marco de<br>seguridad a nivel conceptual Entonces<br>tenemos que prepararnos también desde la<br>mirada de acompañar a nuestros clientes<br>adecuadamente para abordar estos<br>desafíos aquí lo único constante para<br>nuestra profesión es lo que los europeos<br>desarrollaron ya por allá el año 2001 lo<br>que le llaman la triple l lifel learning<br>aprendizaje a lo largo de la vida<br>estamos obligados a estar<br>permanentemente aprendiendo y como lo<br>decía tli tenemos que aprender a<br>desaprender Para volver a aprender<br>nuevas metodologías nuevas herramientas<br>nuevos estándares e identificando las<br>mejores prácticas como bien lo<br>mencionaba el gráfico de isaca en la<br>lógica de que tenemos que buscar Cuáles<br>son las best practices que nos permiten<br>dar un buen servicio y también nosotros<br>mejorar permanentemente nuestras líneas<br>y flujo de proceso y de servicio desde<br>las oficinas que estamos apoyando en<br>materia de tecnología y<br>regulación es un excelente consejo<br>entonces para los estudios jurídicos Ya<br>empezar a implementar tecnología y y no<br>llegar a implementarla sino también<br>tener en cuenta los riesgos que esta<br>también conlleva efectivamente rul los<br>procesos exactamente leocadio una<br>pregunta para ti en tu<br>visión ya bueno sabemos que en Europa el<br>reglamento ya lleva sus años eh Hay una<br>gran experiencia al respecto y hay una<br>pregunta que se va a hacer mucho la<br>gente cuando empiece acá en Chile<br>empecemos a implementar lo que va a ser<br>la normativa de protección de datos lo<br>que ya es la ley de ciberseguridad que<br>es eh este juego entre el rol del ciso<br>con el delegado de protección de datos<br>muchas veces se pregunta puede ser la<br>misma persona tienen que ser personas<br>distintas Cuál es la relación que hay<br>existe entre ellos cómo cómo cómo se<br>comunican entre ellos ahí no sé si nos<br>puedes comentar un poco desde tu<br>experiencia para acá en Chile cuando se<br>empieza a<br>implementar para mí desde la visión<br>europea es la respuesta es muy muy clara<br>eh el modelo español<br>eh lo tenemos perfectamente Claro en la<br>administración pública tenemos eh los<br>informes muy claritos del centro<br>cristológico nacional y también de la<br>propia agencia española protes dato que<br>habla de la incompatibilidad del el<br>equivalente al ciso en la administración<br>pública que se llama responsable de<br>seguridad vale con la posición del del<br>dpo entre otras cosas porque<br>evidentemente hay un conflicto de<br>interés ese conflicto de interés eh<br>anula la posición de segunda línea de eh<br>Y digamos del lo que es la habilitación<br>del estatuto de del dpo que les exige<br>entre otras cosas la su misión<br>fundamental es informar y asesorar<br>informar y asesorar directamente a la al<br>directorio la alta dirección<br>sobre digamos<br>las el cumplimiento alineamiento y la<br>gestión digamos de los riesgos a<br>derechos y libertades de la tanto en el<br>contexto interno como externo de la de<br>la<br>organización Creo que creo que hay un<br>gravísimo error de sobre todo muchas<br>muchas estrategias de muchas<br>organizaciones primero yo creo que and<br>ha comentado mu no entender el concepto<br>de transformación digital creo que es un<br>tema importantísimo donde el eje siempre<br>lo digo la palanca es el clav pero el<br>eje es la ciberseguridad si no estamos<br>completamente desnudos si no mejor nos<br>quedamos un premis mejor nos quedamos en<br>casita Vale y volvemos al papel la<br>máquina de escribir y entonces reducimos<br>el riesgo exponencialmente eso eso así<br>de Claro porque de lo de lo contrario es<br>que no estamos entendiendo a qu estamos<br>jugando esto es importante que lo que lo<br>que lo dejemos así per que utilice un<br>lenguaje tan tan tan sencillo de<br>expresar pero yo creo que es importante<br>Claridad y y no y y no llenarnos de<br>retórica en este tipo de historia<br>no el problema cultural es que<br>intentamos acumular posiciones de poder<br>en en distintos individuos dentro del<br>organigrama de la organización no sin<br>entender fundamentalmente de que muchas<br>de estas posiciones generan conflictos<br>de interés Entonces lo primero que hay<br>que hacer una organización y sobre todo<br>en el debate de de una figura que que es<br>está siendo transformadora de los<br>modelos en Europa que es el oficial de<br>protección de datos sin lugr duda vale<br>está Precisamente en definir qué roles<br>generan un conflicto y eliminarlos O sea<br>no se puede elegir a ninguna personas<br>que pertenezca técnicamente a la a la c<br>Suite eso ya por defecto no eh Me gusta<br>un posicionamiento que hace lail<br>francesa que dice hombre yo no tengo<br>ningún inconveniente en que siso y dpo<br>sea sea eh compatible eh ahora dice yo<br>te coloco a ti bajo tus hbos bajo en tu<br>mochila de responsabilidad que me<br>demuestres Cómo protege el conflicto de<br>interés y ahí es donde donde las<br>organizaciones no han hecho ningún tipo<br>de ejercicio Sencillamente han dicho hay<br>que nar un dpo a ver quién es el que a<br>te ha tocado no hay un ejercicio de<br>ponderación cuidado porque la la la<br>selección equivocada rápida Ah<br>Sencillamente al primero que se gira al<br>primero que se mueve le le le ha tocado<br>eh desde luego no es eh No está acorde<br>con la gestión con el enfoque a riesgos<br>y puede haber una altísima<br>responsabilidad por parte del directorio<br>un nombramiento inadecuado a al riesgo<br>que se quiere cubrir cuidadito con este<br>tema porque podemos hablar también de<br>otro tipo de responsabilidades civiles o<br>penales en un momento determinado<br>también en derivada de de de de de una<br>ausencia digamos de de estrategia en<br>materia digamos de de atención a esta<br>regulación y Y sí que es importante en<br>todo caso sí quiero comentar un detalle<br>importante no eh Para mí como dpo que<br>soy de ocho organizaciones eh los isos<br>me quiere mucho y lo voy lo quiero<br>expresar de esta forma el dpo viene a<br>reforzar y a sacar brillo a los<br>compañeros de área porque somos ante<br>todo en las skill grandes conversadores<br>pero sobre todo somos personas que<br>escuchamos muchísimo entonces venimos a<br>reforzar la labor hemos dicho central y<br>eje de la ciberseguridad donde muchas<br>veces los hizo no tienen ese poder en la<br>alta dirección y el de po va a ser su<br>embajador en muchos casos vale en la la<br>reforma actual eh presente el año pasado<br>de la normativa de infraestructuras<br>críticas en España eh adelantando un<br>poco ya a lo que era nis 1 y ahora<br>pendiente falta la transposición de la<br>nis2 que entrar en octubre de este año<br>se cambió el rol del ciso en<br>infraestructuras críticas se ha puesto<br>un rol durísimo y además el ciso a<br>partir de ahora en infraestructuras Crí<br>en España ya con la nis 1 vale se sienta<br>en<br>dirección entonces la un un poder<br>bastante alto y cambia cambia un poco el<br>el el el rol entonces una de las grandes<br>quejas que tienen los compañeros de<br>mundo de la seguridad de la información<br>es que el ciso está muchas veces<br>enterrado debajo de otras posiciones<br>jerárquicas y tiene que rendir a<br>personas a órganos que no tienen<br>formación en temas tecnológicos y al<br>final quedan eh digamos e<br>encorsetada la la estrategia en materia<br>de ciberseguridad en este caso al salir<br>el dpo a una posición neutra con<br>completamente por encima de todas estas<br>posiciones digamos de control y tener<br>que rendir cuenta a la máxima dirección<br>se convierte en un gran Aliado para mí<br>el ciso es mi gran Aliado mi gran amigo<br>brechas de seguridad estrategia de<br>pravis en B design es mano a mano con el<br>dpo mano a mano con el área jurídica<br>mano a mano con los con Play officer<br>mano a mano con con todas las áreas que<br>están afectadas decir vamos a cambiar la<br>cultura y necesitamos a todos en este<br>cambio<br>cultural muchas Gracias leoo eh Bueno<br>una pregunta para<br>Andrés que luego de esta pregunta lo<br>loamos ya que tiene compromisos<br>académicos e pero muy enfocado con eso<br>en hay una pregunta respecto de más<br>menos como desde tu visión Qué<br>diferencia hay entre el proyecto ley de<br>datos personales y el reglamento europeo<br>ahora podríamos estar todo hacer un<br>webinar completo de esto eh<br>Así que enfoquémonos el tema del webinar<br>que es la seguridad Cómo aborda el<br>proyecto de ley el tema de la seguridad<br>y Quiero agregar también otro principio<br>que mencionó Leo cio también en sus<br>conclusiones que es el principio de<br>responsabilidad proactiva que bueno<br>quizás tú podrás decirnos si si está<br>presente o no está presente también<br>dentro del proyecto de ley bueno a ver<br>punto de vista de lo que es<br>eh la seguridad el proyecto ahí lo tiene<br>muy presente pero también hay que pensar<br>que y así ha sido también discutido en<br>el congreso respecto de la ley marco de<br>ciberseguridad ocurre que todos presumí<br>que iba a salir ante la ley marco de<br>ciberseguridad que la ley de protección<br>de datos Y eso ha sido una<br>Ah era como un un comentario que era<br>conocido Box popul hoy con la detención<br>que tenemos en Chile del proyecto de ley<br>quedamos en una posición bastante<br>compleja porque los tiempos están<br>pasando yo recuerdo estar hablando de<br>estas materias hace 10 11 12 años eh Y<br>esta era una necesidad urgente para<br>poder equiparar noos para poder entrar<br>en el contexto de la economía digital<br>hoy es un tema de urgencias porque no<br>solamente está en desde el punto de<br>vista de la economía digital sino que<br>también está la reputación del país bu<br>los compromisos adquiridos a nivel de<br>acuerdos y conversaciones a nivel de la<br>Unión Europea sin perjuicio también de<br>que tenemos acuerdo con Brasil<br>Ah no puedo no tengo hoy día este minuto<br>el número exacto de diferencias porque<br>mientras no sea ley del proyecto de ley<br>cuando se convierta en ley vamos pod<br>sacar la diferencias Brasil tiene 53<br>diferencias con el gdpr el reglamento<br>europeo de protección de datos Entonces<br>vamos a tener que ver cuando la norma<br>final para ver cómo queda estructurado<br>en la mirada de las diferencias a a<br>nivel implementación Ahora sí es<br>importante destacar que el proyecto nos<br>contempla exigencias a nivel de las<br>organizaciones desde sus medidas<br>preventivas y des el punto de vista de<br>sus medidas de instalar una conciencia<br>de manera proactiva en el cuidado de los<br>datos bien lo mencionaba también leoc en<br>que tiene que ser una estrategia desde<br>la organización y por lo tanto es<br>importante que esto sea también mirado<br>en la lógica de dónde va a estar la<br>frontera entre la agencia de protección<br>de datos y la agencia Nacional de<br>ciberseguridad porque el artículo 25 del<br>ley vigente en materia de la ley marco<br>de ciberseguridad contempla facultades a<br>la agencia interpreta y también le da<br>facultades para poder eh mejorar todas<br>aquellas falencias o deficiencias o<br>choques normativos que se vayan a<br>producir Y eso le permite coordinarse no<br>solamente con eh sus pares reguladores<br>sino que con otros reguladores que van a<br>tener y que tienen normativa que se está<br>hoy emitiendo vamos a ver que a lo largo<br>de la implementación las medidas<br>proactivas y la responsabilidad que se<br>va emanar por parte de la de las<br>instituciones van a tener que estar<br>mirando muy detalladamente eh<br>qué disposiciones o normativas va a<br>estar emitiendo la agencia Nacional de<br>protección de datos pero también vamos a<br>tener que estar viendo Cuál va a ser la<br>frontera entre la agencia de Nacional de<br>ciberseguridad y el toque que va a tener<br>a lo mejor con la agencia de protección<br>de datos podrá darse esa frontera que es<br>algo que también dependerá mucho de las<br>normas y reglamentos que la agencia<br>tiene que dictar recordemos que si bien<br>está la ley se deben dictar un conjunto<br>de reglamentos protocolos estándares e<br>instrucciones vamos a tener un conjunto<br>de disposiciones no tenemos todavía qué<br>otras disposiciones va ya ti que estar<br>un reglamento tiene que estar reglamento<br>por parte de la agencia Nacional de<br>protección de datos vamos a ver cuál va<br>a ser la frontera entre ambos al minuto<br>que llegan a implementarse lo que sí<br>tenemos que tener claro Es que hoy las<br>compañías y estoy Completamente de<br>acuerdo con lo en que tenemos las<br>compañías deben avanzar proactivamente<br>en mecanismos de regulación chile tuvo<br>el año pasado 6000 intentos de C ataques<br>6,000 intentos aquellos con éxito no<br>sabemos Porque no tenemos un registro de<br>los efectivamente realizados solamente<br>aquellos que están con obligación de<br>reportar e están bajo el control de la<br>cmf y sector público el resto no lo ha<br>no le ha anunciado ni lo ha informado<br>por lo tanto es una realidad y<br>emergencia en el contexto digital ahora<br>los números van bajando pero la<br>efectividad va subiendo las compañías<br>especializadas nos dicen que cada vez<br>más en la medida que hay más Data puedo<br>ser más preciso al minuto de llegar a<br>con mayor efectividad a los ataques par<br>particularmente particularmente porque<br>no vamos a encontrar que que los ataques<br>hoy están fuertemente utilizando con<br>Inteligencia artificial lo cual su<br>efectividad también va aumentando Así<br>que el desafío en materia de<br>ciberseguridad control va a estar sujeto<br>también a la responsabilidad que tenemos<br>que autorregularnos también las<br>compañías las compañías tienen que<br>desarrollar Desde esa perspectiva los<br>clientes nosotros lo recomendamos que en<br>su procesos de tal manera de no quedar<br>eh desfasado Cuando Espera que salga la<br>ley no podemos esperar la ley debemos<br>avanzar más rápidamente para abordar<br>este desafío que lo que es enfrentarnos<br>a los desafíos de eh transformación<br>digital que en muchas compañías chilena<br>está en esa fase el 1 2% de la empresas<br>está un nivel mucho más alto ya está<br>transformado digitalmente el resto de<br>las compañías el tejido de las pequeñas<br>mediana empresa en Chile es la que tiene<br>que asumir ese e rol y ese reto de<br>adecuar su cambio tecnológico y sus<br>procesos a estos nuevos<br>entornos Gracias Andrés y efectivamente<br>se llamado a tomar acción ahora y no<br>esperar a que salga la ley o que se<br>retome la discusión tienen que estar hoy<br>haciendo tomando las medidas que<br>corresponde Eh bueno para cerrar ya<br>última pregunta leocadio eh voy a<br>combinar dos<br>preguntas me llamó mucho la atención<br>esta pero creo que tú t nos podrías como<br>quizás dar como luces al respecto eh si<br>Existe algún tipo de kpi medible alguna<br>forma de auditar el cumplimiento de los<br>datos personales el eh o sea de la<br>protección de los datos personales<br>dentro de lo que es también la<br>ciberseguridad cómo se cómo cómo lo mide<br>la empresa porque creo que la pregunta<br>apunta un poco porque cuesta representar<br>a a los altos mandos de las<br>organizaciones Cómo esto<br>Eh me sirve en la organización como esto<br>se puede transparentar en número comoo<br>esto se puede transparentar en en<br>ingresos para la compañía creo que en<br>alguna parte de tu presentación también<br>lo tocaste si nos puedes dar algún algún<br>alud al respecto s sí sin sin problema<br>eh yo soy una persona de número Así que<br>como profesional que vengo que mi<br>especialidad es la son las ciencias<br>empresariales pues mi mi mi gran pasión<br>es estudiar las normas en número no<br>antes hablando de de cuestiones yo el<br>reglamento lo estudio en números la ley<br>de Ecuador la presento en números y el<br>proyecto de chile también lo lo analizo<br>en números o sea yo creo que es hay<br>conceptos semánticos muy interesantes<br>que depende de<br>de las veces que aparezcan en una Norma<br>y sobre todo donde aparezcan en una<br>norma eh ponen el peso y el énfasis en<br>si las cosas se están entendiendo de una<br>forma eh puntual eh de una forma<br>trasversal o sencillamente de una forma<br>sesgada esto también a mí me interesa<br>muchísimo no por ejemplo el término<br>riesgo y libertades que aparece en el<br>proyecto de ley aparece cinco veces en<br>52 artículos Eh Esto es un dato<br>interesante en el reglamento aparece<br>creo que son 70 veces es verdad que hay<br>173 considerando Pero bueno aparece 33<br>veces 99 artículos eh si cogemos la la<br>normativa de de de Chile proyecto de<br>chile lo multiplicamos en vez de 52 lo<br>multiplicamos por dos eh tendríamos 104<br>en vez de 5 aparecerían 10 as creo que<br>esto es muy interesante el el el tema<br>eso es un detalle porque de las cosas<br>que me gusta y la pregunta de los kpi es<br>muy interesante Mira una de las grandes<br>problemas que tenemos en matrias seg la<br>información es Cómo medir directamente<br>el alineamiento o el desalineamiento<br>entre lo que la organización Está<br>realizando y lo que el sistema de<br>gestión pretende y para eso trabajamos<br>con métrica evidentemente necesitamos ki<br>en el la se la información muchas veces<br>hay algunas normas algunos estándares<br>ISO 27000 tiene un estándar que aporta<br>algunas métricas muy poquita de hecho<br>creo que son como cinco o seis métricas<br>el resto digamos de los kpi vamos a<br>tener que construirlo en base también a<br>a experiencia y a y a y a formación<br>materia de protección de datos y<br>privacidad eh existen métricas sí muchas<br>muchas métricas y los que amos<br>trabajando casi tres décadas en este<br>tema trabajamos con kpi trabajamos con<br>indicadores y es y son digamos las<br>grandes herramientas con las que yo voy<br>a la a la alta dirección yo consigo<br>muchas veces en los proyectos cuando<br>trabajo con alta dirección consigo Ah<br>muchas veces que la alta dirección me<br>escuche precisamente porque yo hablo en<br>el contexto europeo hablo en euros en el<br>contexto latinoamericano Pues en peso<br>chileno o en dólares dec llevo<br>directamente cada uno de estos<br>indicadores a peso económico eh a costo<br>ya lo he visto un poco en el análisis<br>del procedimiento sancionador que que<br>poníamos antes de de del Reino Unido de<br>hace 9 años atrás para que prestemos<br>atención de de verdad Cuál es la<br>situación Cuál es el escenario que más<br>nos debería preocupar Y sí que hay<br>indicadores No de hecho eh forma parte<br>de una de las unidades académicas que la<br>universidad de Santiago implementa<br>impartimos no directamente hay una<br>unidad entera en la que dedicamos<br>espacio a a medir y pasar del plano<br>subjetivo al plano objetivo porque<br>muchas de las cuestiones que tenemos Es<br>evidente que son eh Muy subjetivas sobre<br>todo cuando<br>sobre todo en el contexto europeo donde<br>la contabil tiene tanto peso tanto tanto<br>peso de hecho el rgpd esa contabil pur y<br>duro vale es cont respons proactiva vale<br>o proactiva y demostrada que como me<br>gusta más tal y cual lo han traducido<br>los compañeros de de Ecuador es creo que<br>la mejor traducción que se le podía<br>haber hecho a ese término y necesitamos<br>sustanciar directamente las acciones<br>para eso tenemos que traerlo a número<br>por delante No necesitamos Los<br>indicadores eh Como agua de mayo porque<br>muchas veces eh sobre todo cuando<br>estamos en el plano de la rendición de<br>cuentas ante las partes interesadas<br>internas y externas que eso es el<br>accountability no solamente hace las<br>cosas sino estar en condición de<br>demostrarlo a quien te lo exija<br>autoridades de control vale clientes o<br>proveedores entonces sociedad civil o<br>administraciones públicas que puedan<br>afectarte Entonces cómo yo demuestro<br>esto eh si no tengo indicadores por<br>ejemplo Cómo sé que mi programa de<br>formación proponente un tema que es una<br>de las grandes cuestiones de la cláusula<br>5 los sistemas de gestión que hablamos<br>del liderazgo no cómo sé yo que un<br>programa de formación de verdad eh eh es<br>capaz de cubrir los objetivos que la<br>organización se ha se se ha planteado<br>primero tengo que establecer exactamente<br>Cuáles son las competencias que tiene mi<br>organización con las competencias que el<br>sistema de gestión me exige tengo que<br>hacer un Gap análisis Localizar el Gap<br>de formación y competencia En qué área<br>las tengo para luego diseñar un programa<br>una vez que se diseña el programa se<br>puede medir los resultados número de<br>participantes grado de implementación<br>grado de incidentes que teníamos antes<br>de la formación Cómo hemos ido mejorando<br>o reduciendo el nivel de incidente Cómo<br>ido hemos ido mejorando por ejemplo el<br>nivel de reputación en la en la en en en<br>en el mercado Cómo hemos ido mejorando<br>nuestros índices por ejemplo con en un<br>Best marking con nuestra propia<br>competencia es decir hay muchos<br>indicadores que se pueden utilizar<br>Sencillamente para para medir esto y<br>creo que es fundamental fundamental que<br>entendamos Que Esto va a cambiar nuestra<br>cultura y que debemos cambiar nuestra<br>cultura los kpi eh eh están<br>perfectamente eh establecido eh Bueno<br>hay algunos paper que están circulando a<br>nivel a nivel mundial pero<br>fundamentalmente yo creo que es<br>importante que que nosotros también<br>generemos nuestros kpi y hay una cosa<br>que a mí me gusta sobre todo los kpi eh<br>la normativa de California las cpa eh<br>obliga a las organizaciones por ejemplo<br>a publicar esos cap por ejemplo<br>ki en materia de gestión de<br>atención de derechos vale Y se tienen<br>que publicar<br>eh aquí la pena y yo creo que en una<br>estrategia muy equivocada por parte de<br>las organizaciones es de pensar que esto<br>Sencillamente es de consumo propio y que<br>esto además es dar pista a la<br>competencia<br>eh Y yo creo que esto justo lo contrario<br>es decir andr an te comentaba la<br>definición de término riesgo en el<br>contexto de 31,000 no que es el efecto<br>sobre la incertidumbre y la consecución<br>de los objetivos y dice la Norma que el<br>efecto puede ser positivo en forma de<br>oportunidad o negativo en forma de<br>amenaza para mí esto es una maravillosa<br>oportunidad de decir quién soy qué soy<br>vale cómo soy y evidentemente cómo me<br>importan directamente las otras partes<br>no y hacia dónde voy yo puedo marcar<br>misión visión objetivo yo busco cuando<br>llega a una organización lo primero que<br>miro es como soy un emprendedor nato es<br>que me describa efectivamente estos tres<br>términos para saber dónde estás y dónde<br>quieres estar para saber si me puedo<br>aliar contigo o si me puedo puedo ser yo<br>un Partner tuyo directamente en la<br>estrategia Porque si estás En la<br>antípoda donde yo quiero ir no quiero no<br>quiero que me acompañes o yo no quiero<br>acompañar esa es un poco la la<br>lección Muchas gracias leoo muy<br>aclarador tu respuesta eh Bueno ya<br>estamos en el tiempo así que vamos a<br>cerrar e damos las gracias a nuestros<br>expositores a leocadio y Andrés por su<br>tiempo por sus exposiciones aclaratorias<br>eh se aclararon muchas cosas y quedaron<br>también otras dudas<br>seguramente Así que la invitación es e a<br>seguirnos en nuestra página de ley de<br>datos a ver e nuestro linkedin lo que<br>estamos haciendo los webinars que<br>estamos realizando mensualmente con<br>estos temas con distintos temas<br>distintos expositores para poner este<br>tema por lo menos acá en Chile eh dentro<br>de lo que es la cultura organizacional<br>eh ponerlo encima del tapete poner sobre<br>la mesa lo que es la protección de datos<br>personales y no verlo como algo aislado<br>o algo que ya como todavía lejano es<br>algo que está hoy algo que ya está que<br>ya hay que estarlo gestionando como bien<br>se se ha concluido acá<br>e y bueno revisen también nuestro<br>nuestros webinar anteriores hay<br>distintos temas que se han ido abordando<br>respecto a la normativa<br>eh Y bueno podemos dar ya por concluido<br>nuestro<br>nuestro webinar del día de hoy Muchas<br>gracias leocadio muchas gracias andr y<br>gracias a todos los que asistieron<br>muchas gracias muchas gracias a todos y<br>a todas todos<br>Adiós an