¿Por qué es importante la adopción de medidas de seguridad en nuestra empresa?
Aprovechando que hoy se celebra el Data Privacy Day o Día Europeo de la Protección de Datos, hemos pensado que estaría bien tratar, en el post de hoy, un tema que está de candente actualidad: la ciberseguridad.
Avatic Abogados estuvo presente, el miércoles de la semana pasada, en la Jornada sobre Ciberseguridad, presentada por Foment del Treball Nacional, que tenía por objeto contarnos cómo se está afrontando, en el mundo empresarial, el tema de la Ciberseguridad y qué medidas se están tomando para poder asegurar la continuidad del negocio.
Como consecuencia de esta Jornada, hemos extraído las siguientes ideas:
1. Por un lado en los últimos años estamos viendo cómo la tecnología está evolucionando de manera muy rápida, teniendo, un gran impacto en las empresas, lo que ha conllevado la aparición de nuevos conceptos o sistemas relacionados con el tratamiento de la información y la incidencia de las nuevas tecnologías como sucede con el cloud computing, big data, la aparición de apps o conceptos nuevos como la identidad digital.
Por otro lado, parece ser que no somos del todo conscientes de que detrás de todas estas tendencias del mercado, existen una serie de amenazas y riesgos como la privacidad, el software malicioso, el ciberespionaje u otros.
Lo cierto es que los ciberataques que se están produciendo recientemente, están concienciando a las empresas para que lleven a cabo o empiecen a tomar medidas eficaces destinadas a proteger su seguridad informática. Así, como consecuencia de los ataques que se han producido a empresas de gran importancia en el mercado como Sony (apoyada por el gobierno de Estados Unidos), las demás empresas empiezan a sentirse vulnerables y con la necesidad de establecer algún tipo de protocolo de ciberseguridad o, como mínimo, se interesan por la adopción de medidas en este sentido.
2. Para hacer frente a estos ataques es necesario que conozcamos nuestro propio negocio y hagamos un análisis de riesgos importante. Para ello, por una parte, deberemos identificar los activos que hay que proteger:
– Tangibles (Ordenadores, redes, sistemas informáticos, proyectos, etc)
– Intangibles (Clientes, imagen, posición en el mercado, etc)
Por otra parte, también debemos valorar el impacto social (a nivel nacional o en la población) que se produciría si nuestra empresa dejase de funcionar y prestar el servicio que lleva a cabo habitualmente, debido a un ataque informático (hay que tener en cuenta, si bien, que la cuantificación del valor de este impacto social puede ser difícil de valorar por parte de un juez si llevamos a cabo una denuncia por un ataque que hayamos sufrido).
3. La nueva directiva europea obliga a las empresas, sobre todo a las empresas que ofrecen servicios críticos a la sociedad, a realizar un análisis de riesgos muy detallado, teniendo consciencia tanto de los daños que les pueda causar a ellos, este tipo de problemáticas, como a la misma sociedad.
Por ello deberán reportar (informar a los afectados) sobre los ataques, minimizando con anterioridad y en la medida de lo posible el impacto que se pudiera producir, para salvaguardar la seguridad y privacidad de los datos de los usuarios que hayan podido o pudieran estar expuestos a este tipo de ataques informáticos.
Reportar estos incidentes implica que debemos tener herramientas para poder demostrar qué es lo que ha sucedido y que el ataque era de una potencia tan fuerte que, por muchas medidas que se hubiera implantado por la empresa, cualquiera lo hubiera sufrido. En vista de ello, se ha implantado un sistema de multas que va a tener en cuenta la buena praxis de las empresas en la previsión y en los mecanismos de defensa adoptados para protegerse de los ataques. Actualmente el Gobierno español está trabajando para implementar la directiva en nuestro Código Penal.
4. El 90% de los ataques, se producen utilizando personas dentro de la propia organización, de forma voluntaria o involuntaria, por ejemplo mediante “spear fishing” (suplantación de identidad con la finalidad de que la víctima, entre en cierta página web ya contaminada) o mediante chantaje para conseguir acceso a los sistemas informáticos. Esto tiene éxito, mayormente, porque la gente no está formada en este tipo de ataques, no existe concienciación sobre los riesgos y también como consecuencia de errores puramente humanos.
5. Es muy importante realizar auditorías internas, por las que se analice qué es lo que hacen los trabajadores y los directivos, se intente que los ordenadores estén lo más limpios posible (por ejemplo mediante instalación de cortafuegos y antivirus – actualizados-) y que las acciones que se llevan a cabo o ejecutan con ellos, se encuentren encaminadas a las líneas de negocio de la empresa, no utilizándose para otras funciones fraudulentas.
Por eso es necesario que exista un responsable de ciberseguridad que conozca nuestro negocio y qué activos hay que defender.
Por otra parte, es importante apoyarse también de proveedores externos, por ejemplo, un consultor o auditor externo, que tiene una visión más global y, nos puede proteger con antelación, y conociendo de antemano los perfiles de los posibles ataques, en su caso.
Sin embargo, si contratamos servicios externos para almacenar nuestros datos, es importante, también, que éstos estén ubicados en una jurisdicción donde puedan colaborar con nuestras autoridades.
En consecuencia, almacenar nuestra información en Estados Unidos, por ejemplo, no es lo más recomendable, también porque a nivel de protección de datos, entre otras, puede no cumplir con los estándares europeos y, en consecuencia, no garantizar la seguridad que esta normativa exige para la protección de nuestros datos y los de nuestros clientes.
Es importante, en definitiva, que se adopten medidas por parte de las empresas no solo destinadas a garantizar la privacidad y seguridad de la información de sus usuarios sino, en la medida de lo posible, se disponga de sistemas de seguridad que protejan en sí mismo, la infraestructura informática de la empresa, así como se diseñen protocolos de actuación, tanto en prevención de este tipo de riesgos como de actuación, una vez aquellos hayan sucedido.
Con ello, minimizamos el riesgo de ciberataques y aportamos soluciones en caso de que ocurra.
Artículo redactado por Ramon Planas, supervisado y coordinado por Vanesa Alarcón