Este artículo fue publicado por LawyerPress.
A día de hoy, los datos son uno de los activos más importantes para las empresas. Vivimos en un modelo de Internet de la información que ya está migrando al Internet del valor gracias a la tecnología Blockchain.
La aceleración del proceso de digitalización que estamos viviendo implica un aumento considerable del riesgo de tener contingencias en materia de ciberseguridad en nuestros sistemas de información. Con la normalización del teletrabajo a partir del COVID-19 y la utilización de tecnologías y plataformas, las fugas de información son una de las mayores amenazas a las que nos enfrentamos.
De acuerdo con los últimos datos publicados en la Agencia Española de Protección de Datos, el volumen de notificaciones de violaciones de seguridad, han sido considerables debido al aumento de empresas que han implantado forzosamente y con carácter urgente el teletrabajo sin establecer un plan de prevención y de gestión de incidentes a nivel estratégico.
Pese a que normalmente los juristas cuando solemos hablar de ciberseguridad nos abrumamos, el cambio de mentalidad pasa, por un lado, por la protección de nuestros sistemas de información y por otro, por el conocimiento de las obligaciones legales que la normativa de protección de datos impone.
En este sentido, el Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) obliga a la adopción de medidas de seguridad en función del riesgo que se aprecie y en su caso a notificar violaciones de seguridad a la Autoridad y en su caso a los interesados, de conformidad con lo dispuesto en los artículos 33 y 34 RGPD.
I.- Implantación de medidas de seguridad técnicas y organizativas.
Debemos partir de la base que la adopción de medidas de seguridad adecuadas puede potencialmente disminuir el nivel de riesgos de sufrir ciberamenazas tales como: virus, daños informáticos, ataques a páginas web, fraude y robo de identidad online, destrucción de información en los sistemas de información, etc. De ahí, que la adopción de medidas de prevención/ reacción como medida de responsabilidad activa sean factores esenciales para para minimizar los incidentes de seguridad.
Recientemente la AEPD ha publicado el Top 5 de medidas técnicas de seguridad que deben de tenerse en consideración conforme a los criterios establecidos en el Art. 32 del RGPD, siendo las siguientes:
(i) Uso de contraseñas seguras y segundo factor de autenticación para los accesos de la información, así como la actualización periódica de las mismas.
(ii) Realizar copias de seguridad con la finalidad de permitir a la entidad recuperar la información en caso de incidente.
(iii) Mantener los sistemas actualizados de los equipos de trabajo y servidores, así como de Software y establecer la rutina de actualizaciones periódicas documentada.
(iv)Establecimiento de política de servicios expuestos en internet. Los accesos remotos siempre deben realizarse a través de sistemas de VPN, proxy inverso o medidas igualmente eficaces
(v) Cifrar los dispositivos para asegurar la confidencialidad de la información en caso de pérdida o robo.
Por supuesto que la implantación de medidas tecnológicas juega un papel esencial pero no hay que descuidar la implementación de medidas organizativas que ayuden a la formación y concienciación de todos los miembros de la organización para mitigar el riesgo de sufrir incidentes de seguridad.
De acuerdo con la Guía de INCIBE de ransomware[1], más de la mitad de las infecciones con ransomware tienen lugar por medio de ataques de ingeniería social, es decir, engaños a los usuarios bien para que les den acceso bien para instalar el malware o para conseguir las contraseñas de acceso con las que entrar e instalarlo. Por ello, es tan importante dar a conocer y formar sobre las políticas de la empresa en materia de ciberseguridad a los empleados así como la implicación del órgano de Dirección de la organización.
ii.- Notificación de Violación de seguridad.
La normativa de protección de datos obliga a las organizaciones (públicas y privadas) que actúen como responsables de tratamiento de notificar a la Autoridad de Control competente las brechas de seguridad que puedan ocasionar daños y perjuicios sobre las personas y, si esos daños son graves, comunicar la brecha a las personas cuyos datos personales se hayan visto afectados para que puedan tomar sus propias medidas. El plazo para notificar a la Autoridad de Control es de 72 horas desde que la organización es conocedora de la brecha.
Cuando sucede una brecha, lo importante no es únicamente cumplir el trámite formal de notificación sino realizar una investigación a fondo para averiguar qué ha pasado y documentar un plan de contingencia y modificación de medidas con el fin de intenta evitar que vuelva a pasar.
La adopción de medidas como las que plantea la AEPD reducirían considerablemente el riesgo no solo de sufrir un incidente de seguridad en los sistemas de información con lo que todo ello implica a nivel reputacional e incluso patrimonial con la posible pérdida de información, sino también la comisión de infracciones en materia de protección de datos con las sanciones administrativas que ello conlleva.
La ciberseguridad, tal y como vemos en el Máster en Propiedad Intelectual y Derecho Tecnológico de la Universidad Internacional de Valencia, se ha convertido en un eje transversal y estratégico en la sociedad de la información que no puede resultar ajeno a ninguna organización.
[1] https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ransomware_metad.pdf