En los últimos tiempos va siendo habitual que leamos o veamos noticias sobre ciberataques que sufren diferentes entidades y con distintos alcances. Ello nos deja, sin duda, además de la sensación de vulnerabilidad del mundo digital en el que nos encontramos inmersos, una palabra nueva en nuestro registro: Ransomware.
El ransomware es un software malicioso programado con el objetivo de secuestrar información con el fin de cobrar un rescate por la misma. Es una combinación de los término en inglés (ramson que se traduce como secuestro y Ware de software). Todos los expertos informáticos con los que he consultado insisten en que para que se propague requiere una acción, es decir, que sea ejecutado por el destinatario del mensaje en el que, generalmente, está incluido.
Esto nos debería hacer pensar en el papel que juegan los empleados en el eslabón de la seguridad de una compañía. En un mundo cada día más digitalizado y en el que la información y los datos son el core business de muchos negocios, el uso de herramientas tecnológicas es la base del trabajo de muchas empresas, los empleados tienen acceso a través de estas herramientas a toda la información de la empresa y, a veces, esto se realiza sin ningún control ni medida de seguridad.
La concienciación, formación y el establecimiento de políticas de uso tecnológico o programas BYOD dentro de éstas, es fundamental en la cadena de valor de la seguridad de la información a fin de que el empleado sea el eslabón más débil en la seguridad; máxime si tenemos en cuenta las consecuencias que pueden conllevar infracciones de este tipo, bien por mala praxis o por desconocimiento, en aplicación de normativa vigente de Protección de Datos (Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales) o del Código Penal que regula la responsabilidad penal de las personas jurídicas.
No sólo las empresas objeto de ciberataques son grandes corporaciones y multinacionales sino que debemos pensar que de estos ataques no están libres otras entidades y, sobre todo, las PYMES.
Las pequeñas empresas tienen subcontratados con terceros proveedores sus servicios de correo, hosting, cloud, mantenimiento informático, etc; otras tienen servidores propios o simples PCs. Pero ¿saben realmente estas empresas qué tienen subcontratado y hasta dónde alcanza su responsabilidad en caso de ser víctimas de un ataque informático o una brecha de seguridad?
El desconocimiento de estos aspectos hace que la contratación de servicios a terceros suponga una debilidad de la compañía en materia de seguridad. Muchos de estos servicios se contratan telefónica y telemáticamente con acuerdos de adhesión que ni siquiera son leídos por las organizaciones y ahí está el problema puesto que desconocen si dicho acuerdo responde a estas cuestiones: realiza copias de seguridad nuestro proveedor, con qué periodicidad, qué eximentes o exclusiones de responsabilidad tiene establecidas por pérdidas de información o datos, contempla un acuerdo de nivel de servicio, en cuánto tiempo obtendré un diagnóstico y resolución a mi problema y, muy importante, he suscrito un acuerdo de tratamiento de datos que incluya las medidas de seguridad oportunas conforme a la calidad de los datos tratados, de acuerdo con lo establecido en la normativa vigente de Protección de Datos. La falta de respuesta o la inconcreción de estas cuestiones, determinan que el segundo eslabón de debilidad en materia de seguridad sean los proveedores.
Uno de los grandes riesgos que también tiene la digitalización es que las organizaciones se están autogestionando en algunos aspectos. Del mismo modo que en la medicina nos autodiagnosticamos e incluso tratamos mediante la información que obtenemos de Internet; en estas materias encontramos cantidad ingente de información que copiamos y pegamos a nuestro arbitrio sin tener en cuenta las consecuencias que puede conllevar.
En este sentido, las organizaciones deben tener muy presentes el riesgo que supone lo anteriormente tratado y que implica que la organización no tenga una estrategia de medidas de seguridad en la que se evalúe el riesgo de la seguridad, la probabilidad de que ocurra y el impacto que tendrían en la organización.
En los planes de viabilidad de las compañías, el Compliance Digital debe ir encontrando su hueco y estar entre las prioridades de la agenda de los directivos, ya que los servicios y actividades se pueden externalizar y subcontratar pero la responsabilidad no y en esto está en juego la cuenta de resultados de la compañía porque las sanciones y crisis de reputación que pueden derivarse de las infracciones en seguridad de la información pueden dejar a las organizaciones fuera del mercado.
La mayor protección que puede tener una empresa es la prevención y está en manos de sus directivos la oportunidad de ser proactivos y definir una estrategia de seguridad y Compliance Digital o ser reactivos y, cuando ocurran las vulnerabilidades; pagar rescates, sanciones, o resignarse a perder una información que puede ser crucial no sólo para su negocio sino para su continuidad.
Artículo escrito por Lola Carranza Sánchez, Especializada en Derecho Digital-Protección de Datos y Privacidad- Seguridad -Compliance.
Licenciada en Derecho por la Universidad de Sevilla. Máster en Dirección de Recursos Humanos por la Escuela de Negocios de Andalucía.
Digital Advisor en diferentes empresas tecnológicas. DPD-DPO en Corporación de Derecho Público. Consultora externa de Grupo S21Sec (empresa líder nacional de ciberseguridad)
Abogado Senior con 18 años de experiencia en asesoría jurídica de empresas en el Grupo British Telecom (Arrakis Servicios y Comunicaciones y BT España, Compañía de Servicios Globales de Telecomunicaciones).
Recibe, cada dos semanas, todas las novedades sobre las tecnologías de la información para empresas.