El incuestionable aumento experimentado en las comunicaciones digitales, en la cantidad de información disponible en la red y en las facilidades de acceder a ella ha supuesto igualmente un considerable incremento de la exposición de las empresas con la consecuencia directa del riesgo ante las amenazas que se derivan del abuso de las tecnologías de la información para la consecución de fines ilícitos.
Aunque ya sabemos que, como en todas las realidades jurídicas, el legislador llega tarde a solucionarlas, olvidando en este ámbito además que, más que normas farragosas y de difícil interpretación, el derecho de las nuevas tecnologías precisa de soluciones prácticas, rápidas y accesibles.
En España, el Ministerio de Industria y la abogacía digital son más que conscientes de este reto, pues en la sociedad interconectada en que vivimos, aun siendo necesarias iniciativas legislativas y regulatorias exhaustivas, se demanda un marco jurídico sólido y coherente y, por encima de todo, que ofrezca seguridad jurídica a los ciudadanos y a las empresas.
A nadie se le escapa el hecho –especialmente en las circunstancias actuales de reorganización geopolítica- que la ciberseguridad es un elemento esencial de nuestro día a día. Y desde el punto de vista de la empresa somos –y seremos más aún en el futuro- testigos de numerosos y cada vez más habituales y graves ataques a sistemas informáticos y fugas de información, causa de no solamente de grandes pérdidas económicas y reputacionales para organizaciones y empresas, sino de una creciente desconfianza en la ciudadanía y en los usuarios de internet.
Prevenir.-
En este sentido, lo primero será crear medidas de prevención relativas a la adecuación y al cumplimiento de la legislación aplicable -LOPD y RLOPD-. Estas medidas incluyen, entre otras:
- Establecer una circular sobre el tratamiento de datos de carácter personal.
- Implementar un sistema de investigación de incidencias de seguridad de los datos.
- Solicitar la aceptación de la política de seguridad por los empleados.
- Disponer de una política de uso de medios tecnológicos.
Detectar.-
Una adecuada gestión de la fase de detección del ataque informático puede reducir significativamente el impacto del ataque. Siendo un momento crítico, es fundamental tener previstas medidas encaminadas a detectar a tiempo el ciberataque, pues desafortunadamente en ocasiones se tiene conocimiento de la irrupción ya cuando la información ha sido sustraída y revelada al público o a la red, o incluso cuando el ciberdelinuente contacta con la empresa para amenazarla o extorsionarla.
En esta fase, las medidas fundamentales son de índole técnico, siendo esencial monitorizar los sistemas con el objeto de poder detectar entradas sospechosas en el sistema.
No obstante, también será preciso diseñar medidas estrictamente legales, mediante el establecimiento e implantación de un protocolo interno adecuado, y de naturaleza organizativa, detectando y registrando incidencias y brechas en el documento de seguridad de la empresa.
Una vez detectada una entrada ilegal en los sistemas informáticos de la empresa será necesario ejecutar un plan organizado de recuperación.
Informar.-
Cuando la empresa ha sufrido un ciberataque se ve en la necesidad de responder inmediatamente a sus empleados y clientes. No nos referimos exclusivamente a la información de que se ha producido un ataque informático, sino también en el alcance del mismo, las medidas que se van a tomar y la denuncia del hecho acontecido a las autoridades competentes.
Denunciar.-
- Comunicar a la Agencia Española de Protección de Datos
Aunque en relación con la notificación a la AEPD de una brecha de seguridad, con anterioridad a aprobarse el RGPDE (Reglamento General de Protección de Datos Europeo), se encontraban únicamente obligados los operadores de telecomunicaciones, el nuevo Reglamento obliga a todas las empresas que hayan sufrido un ciberataque a realizar una notificación a la AEPD, sin demora, en un plazo máximo de 72 horas.
- Denunciar ante la Policía, la Guardia Civil o el Juzgado de Guardia
En la actualidad la Guardia Civil, con el Grupo de Delitos Telemáticos, y la Policía, con la Brigada de Investigación Tecnológica, disponen de equipos de trabajo, que se encuentran preparados y formados para la investigación de estos ciberdelitos y puestos asimismo a disposición de los juzgados en su función de instrucción, investigación y determinación de la autoría y de la naturaleza delictiva de estos hechos.
En cuanto a la información a proporcionar en las respectivas denuncias, es importante que contenga:
– Las direcciones IP, incluyendo fecha, hora y puerto.
– Una completa y detallada descripción del incidente, así como su fecha, duración y alcance.
– Una valoración económica al menos aproximada del impacto del ataque informático.
– La identificación de los equipos comprometidos así como de los activos afectados.
– Un informe de las medidas que la empresa ha adoptado tras el ataque.
– La situación del estado actual de la resolución del incidente.
José María Alonso Martín
Abogado