José Lagos

La inteligencia artificial (IA) ha dejado de ser una promesa tecnológica para convertirse en un componente central en la transformación digital de las organizaciones. Su impacto en la auditoría interna es profundo, ya que desempeña un doble rol: por un lado, como objeto que debe ser auditado debido a sus riesgos inherentes, y por otro, como herramienta que potencia la eficiencia y efectividad del trabajo auditor. Esta dualidad plantea desafíos éticos, técnicos y organizativos que requieren una reflexión estratégica por parte de las áreas de control interno.

Frente a esta complejidad, el pensamiento sistémico emerge como una capacidad clave que pueden adquirir las organizaciones, para gestionar las cibercrisis, pudiendo anticipar, gestionar y aprender de las crisis cibernéticas.

El auge de la Inteligencia Artificial Generativa (IAg) está marcando un antes y un después en el ámbito de la ciberseguridad. Las soluciones de ciberseguridad basadas en IA Generativa permiten automatizar la documentación de incidentes, acelerar la búsqueda y análisis de amenazas, interpretar grandes volúmenes de datos de logs o generar una campaña de sensibilización y cambio cultural. Para incrementar la productividad, las empresas han comenzado a incorporar herramientas como ChatGPT, Copilot, Claude 3 o Gemini.

La entrada en vigencia de la Ley 21.575 representa un hito para la gobernabilidad en protección de datos en Chile. Las organizaciones enfrentan el desafío de incorporar nuevos estándares regulatorios que no solo exigen el cumplimiento normativo, sino también la demostración de responsabilidad activa ('accountability').

En la era digital, la privacidad de los datos se ha convertido en un tema central para las organizaciones y los individuos. A medida que las empresas recopilan y procesan grandes cantidades de información personal, surgen tensiones inherentes entre los propietarios de los datos (individuos, colaboradores) y las organizaciones que actúan como custodios de esa información. Este fenómeno puede analizarse a través de la teoría de agencia, que examina los conflictos de intereses y la asimetría de información entre el principal y el agente.

Las organizaciones actuales se desempeñan en un escenario marcado por la complejidad y la interconexión, donde los sistemas digitales y las redes globales son fundamentales para sus operaciones diarias.

El 26 de agosto el Congreso Nacional aprobó el proyecto de Ley de Datos Personales. Si bien considera 24 meses de adecuación, desde su publicación en el diario oficial, para quienes han tenido la oportunidad de trabajar, operativizar e implementar proyectos de esta naturaleza, es sabido que este plazo es ajustado, sobre todo para aquellas empresas que utilizan una gran cantidad de datos.

La nueva ley establece aspectos de gobernabilidad por medio de la creación de la Agencia Nacional de Ciberseguridad (ANCI). Se agrega a ella, un consejo multisectorial sobre ciberseguridad, un comité interministerial y un centro de respuesta de incidentes, más conocido como CSIRT por sus siglas en inglés.

Diversos estudios dan cuenta de una falta de interacción entre el directorio y el responsable de ciberseguridad (conocido como CISO), además de continuar percibiendo la ciberseguridad como un tema técnico y no como un habilitador para obtener una ventaja competitiva en una economía digital.

El informe “Perspectivas de Ciberseguridad de los Líderes de Industria”, elaborado por la Universidad de Duke y CISO LATAM, que fue publicado a inicios del 2023, menciona que las amenazas que más afectan a las empresas en Latinoamérica son el phishing y el ransomware. La utilización de correos falsos o phishing son la forma preferida para introducir el ransomware en las empresas.