Compliance y Ciberdefensa: la Ciberseguridad no sólo compete a las Fuerzas Armadas

Compliance y Ciberdefensa: la Cibeseguridad no sólo compete a las Fuerzas Armadas

Por Carlos Caro

  1. Como señala Ballesteros Sánchez, “Aproximarse adecuadamente a la Seguridad Nacional de un Estado multidimensionalmente en la actualidad, requiere, en términos de eficacia e idoneidad, realizarlo desde una perspectiva público-privada. El retroceso del sector público, la complejidad de la globalización, las amenazas híbridas, el avance tecnológico (inteligencia artificial, vehículos no tripulados, drones etc.) y el papel estratégico de algunas corporaciones convierte en vital, la colaboración en materia de seguridad nacional[1]. Menciono esto porque la nueva Ley de Ciberdefensa, la primera en nuestro sistema legal, no establece los imprescindibles mecanismos de cooperación entre el sector público y el sector privado. Se parte de una errada concepción publicista de la ciberseguridad.
  1. En efecto, la Ley N° 30999 de Ciberdefensa, publicada el 27 de agosto de 2019 en el Diario Oficial El Peruano, establece el marco legal para la defensa del Estado en el ciberespacio. Con ello, se hace un reconocimiento explícito de aquellos riesgos que pueden llegar a afectar los intereses nacionales de un modo no convencional, mediante instrumentos inmateriales, digitales, muy diferentes a los ataques físicos que un Estado o entidad extranjera puede dirigir contra otro Estado o los privados de otro Estado.
  1. En estricto, la Ley regula la actividad militar del Estado en el ámbito cibernético, específicamente de los Órganos Ejecutores del Ministerio de Defensa. Según la Ley, el Ejército, la Marina de Guerra y la Fuerza Aérea, y el Comando Conjunto de las Fuerzas Armadas son instituciones que ostentan esta calidad. No cualquier ciudadano puede realizar, por ende, acciones de ciberdefensa en el marco de la Ley, sino sólo aquellos autorizados, los funcionarios del ámbito castrense nacional, lo que desde ya reduce ostensiblemente las competencias en materia de ciberseguridad que corresponde a otras instituciones públicas y, en gran medida, al sector privado. Las empresas, los ciudadanos en general, tenemos legítimo interés en la ciberdefensa. Y es que, a diferencia de la defensa del Estado frente a un conflicto armado convencional, la ciberdefensa se realiza con herramientas de uso y distribución común, los recursos informáticos, en todos sus niveles, no son medios prohibidos sino sujetos al libre mercado. No se trata de empuñar armas de destrucción física, sino de los recursos informáticos, desde un sencillo antivirus hasta los usos más avanzados de la inteligencia artificial, esto es, herramientas para tiempos de paz pero cuyo uso puede implicar armas digitales de destrucción masiva o defensa masiva, según se quiera ver.
  1. La Ley busca proteger la soberanía, los intereses nacionales, los activos críticos nacionales y los recursos claves frente a ataques que afectan la seguridad nacional, con lo que subyace la idea de una soberanía o jurisdicción nacional digital y en donde, como en el ámbito físico-territorial, conviven un conjunto de elementos vitales para la seguridad nacional. Se trata por lo tanto de la protección de los datos, su integridad, su fiabilidad, su acceso constante y ubicuo, con privacidad y confidencialidad.
  1. Pero como es obvio, un ataque contra la ciberseguridad no sólo puede provenir de otro Estado sino también de empresas criminales, con fines lucrativos y generalmente en el marco de lo que podemos denominar la criminalidad organizada digital, lo que abre un amplio espacio para el compliance en materia de ciberdefensa y ciberseguridad, la prevención organizada desde el sector público y privado. En esa perspectiva, se ha puesto de relieve que “Dentro de las amenazas, desafíos y potenciadores del riesgo que pueden afectar a la seguridad nacional de los Estados, debemos incorporar como factor la delincuencia corporativa. En ese sentido, el análisis de documentos estratégicos en materia de seguridad nacional de distintos países (España, Canadá, Rusia, Australia, Estados Unidos, etc.) permite relacionar el comportamiento criminal corporativo con conductas como la corrupción, el espionaje corporativo y la provocación de daños ambientales, entre otros. Asimismo, la empresas pueden provocar fraudes económicos masivos que afecten a la seguridad económica y financiera, parte integrante de la seguridad nacional[2].
  1. La ciberdefensa implica la formación o desarrollo de determinada capacidad que incluye los conocimientos, habilidades y medios, todos ellos de carácter virtual/tecnológico, que permitan el despliegue eficaz de la ciberdefensa. Evidentemente, de la formación de esa capacidad, técnica y especializada, dependerá la eficacia y eficiencia de las operaciones de ciberdefensa, siempre sujetas a los principios básicos del ordenamiento internacional. Por ello la Ley reconoce el principio de legalidad en el empleo de las capacidades de ciberdefensa, toda vez que será desempeñada por los Órganos Ejecutores en el ámbito de sus respectivas competencias. Por lo demás, no solo se regula una capacidad pasiva de ciberdefensa frente a ataques o amenazas, sino también una capacidad activa, autorizándose el uso de la fuerza por las Fuerzas Armadas en y mediante el ciberespacio, claramente de conformidad con los supuestos legítimos de uso de la fuerza que se reconocen en el Derecho Internacional. Dentro de ellos, se hace mención expresa a la legítima defensa, a ejercerse como respuesta a un ataque o amenaza, cabe entender ilegítimas, y de acuerdo a los principios de legalidad, necesidad y oportunidad.
  1. Se debe esperar la reglamentación de la Ley para encontrar una mayor precisión de sus conceptos y las competencias que se instituirán para el ejercicio de la ciberdefensa. La Segunda Disposición Complementaria Final, señala que el Ministerio de Defensa, en un plazo de 90 días, presentará las modificaciones, derogaciones e incorporaciones a la normativa de la Fuerzas Armadas en materia de ciberdefensa. Sin embargo, por tratarse solo de reformas reglamentarias, solo una modificación de la propia Ley podrá ampliar las necesitadas competencias en materia de ciberdefensa a los ámbitos públicos no castrenses y al sector privado. Esa necesaria cooperación público/privada, y no otro, es el punto de partida para el compliance en materia de ciberdefensa y ciberseguridad.

[1] Ballesteros Sánchez, Julio. “Corrupción, seguridad y desarrollo: Una visión panorámica desde el Compliance. Perspectiva española”. En: Derecho & Sociedad N° 52/2019, p. 104.

[2] Ballesteros Sánchez, Julio. Seguridad, Ciencias Penales y Compliance: management empresarial y delincuencia corporativa. Universidad de Salamanca, tesis doctoral, 2019, inédita, p. 212.

Fuente: Semana Económica

Written by Miguel Ampudia Belling

Abogado por la UNMSM. Maestrando en Gerencia Pública por la Escuela de Posgrado - Universidad Continental. Miembro fundador del Grupo de Estudios de Derecho Mineroenergético – GEDEM. Director de Peruweek.pe.
(Contacto: +51 980326610 | peruweek@peruweek.pe)

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Presidente del Congreso se compromete a priorizar el proyecto de adelanto de elecciones

Presidente del Congreso se compromete a priorizar el proyecto de adelanto de elecciones

Empresas deberán renovar certificados de Defensa Civil (Ley Nº 30619)

Empresas deberán renovar certificados de Defensa Civil (Ley Nº 30619)