Miguel Recio
La ciberseguridad es una cuestión prioritaria para cualquier organización, ya sea pública o privada, e implica que se deban adoptar medidas de gobernanza y gestión. Al respecto, el Parlamento Europeo ha puesto de manifiesto recientemente que “el grado de preparación y sensibilización en materia de ciberseguridad entre las empresas, en particular las pymes, y los particulares sigue siendo bajo”. Así lo ha indicado en su Resolución, de 10 de junio de 2021, sobre la Estrategia de Ciberseguridad de la UE para la Década Digital.
Además, en el caso del sector privado cabe destacar el hecho de que en el Acuerdo sobre actuaciones urgentes en materia de ciberseguridad, adoptado por el Consejo de Ministros el 25 de mayo de 2021, una de las actuaciones clave es la relativa a “promover e incentivar la adopción de sistemas, estándares y políticas de gestión de seguridad”. En particular se trata de aumentar “el nivel de ciberseguridad de los proveedores tecnológicos del Sector Público estatal”.
El escenario de transformación digital en el que nos encontramos implica que las organizaciones tengan que considerar la ciberseguridad como una prioridad y actuar en consecuencia. En este sentido, la ciberseguridad es clave tanto desde el punto de vista de la gobernanza como de la gestión en una organización, siendo recomendable atender, al menos, a las cuestiones que se exponen a continuación.
La primera, la ciberseguridad debe ser una prioridad de los consejos de administración, directivos o administradores, con independencia de cuál sea la dimensión de una empresa. Incluso si una empresa es una PYME, si quiere poder prestar servicios a otras empresas o Administraciones Públicas, la ciberseguridad se ha convertido en una condición necesaria ya que la falta de o medidas de seguridad insuficientes pueden convertirlas en los puntos débiles o agujeros en el caso de ciberataques contra aquéllas. Esta prioridad se debe plasmar en medidas de gestión que sirvan para aplicar en la práctica la política de ciberseguridad y los correspondientes procedimientos.
La segunda, la ciberseguridad requiere que una organización adopte medidas y se asegure de que quien le presta servicios o proporciona tecnología u otros productos, tales como proveedores de servicios digitales (nube, plataformas de servicios, etc.) o software, ayuden a aquélla a proteger los activos de información frente a ciberataques. Es decir, la ciberseguridad requiere de medidas a lo largo de toda la cadena de contratación para garantizar, entre otros, la confidencialidad, integridad y disponibilidad de la información. Desde la inclusión de previsiones sobre ciberseguridad en contratos o acuerdos hasta requerir certificaciones o pólizas de seguros en materia de ciberseguridad o seguridad de la información a prestadores de servicios o a quienes proporcionan productos como software, son medidas que pueden adoptarse con la finalidad de mitigar, en la medida de lo posible, el riesgo de ciberataques.
La tercera, las ciberamenazas son un riesgo constante, dinámico y en claro aumento. Evaluar los riegos a los que está expuesta la organización y, en concreto, sus activos de información que incluyen, entre otros, datos personales, datos no personales, redes, sistemas de información, instalaciones o personas, ya que se trata de un concepto amplio, es una acción que ayuda a adoptar las correspondientes medidas de ciberseguridad. Asimismo deben establecerse protocolos que permitan identificar y reaccionar de inmediato ante cualquier ciberataque, al objeto de poder adoptar medidas para restablecer cuanto antes la seguridad de la información.
Es necesario tener en cuenta que las ciberamanazas no se limitan a ciberataques por terceros ajenos a la organización, sino que actores internos, tales como personas trabajadoras descontentas o que pudieran colaborar con ciberdelincuentes u otros actores malintencionados, deben ser también considerados para evitar riesgos. Y como riesgo, las ciberamenazas deben ser evaluadas de manera continua, específicamente cuando la organización es un operador crítico, se gestionan determinados activos de información o se producen cambios relevantes en su sistema de información.
La cuarta cuestión clave implica que se deban considerar cambios normativos que vendrán dados por la adopción de nuevas normas a nivel europeo y que implicarán la adopción a nivel nacional de las correspondientes medidas para cumplir con aquéllas. Toda acción que se lleve a cabo ahora servirá a las organizaciones para alcanzar un nivel de cumplimiento adecuado. Al mismo tiempo, es también relevante conocer las certificaciones en materia de ciberseguridad existentes y otras que podrían desarrollarse a nivel europeo.
Y la quinta cuestión clave es que la ciberseguridad no será efectiva si las personas no son conscientes de los riesgos derivados de las ciberamenazas. Toda organización debe adoptar medidas de formación y sensibilización dirigidas tanto a quienes forman parte de esta y con independencia de cuáles sean sus funciones, como comprobar si sus proveedores, en particular, los que facilitan tecnología, servicios digitales o acceden a su red y sistema de información para tratar cualquier tipo de información, tienen un programa de formación. Esta formación debe ser periódica, ya que las ciberamanazas siguen aumentando rápidamente y son cada vez más sofisticadas.
En definitiva, la ciberseguridad en cualquier organización debe tratarse siguiendo una aproximación integral y con una estrategia que considere también las implicaciones jurídicas derivadas de los incidentes cuando se materializan las ciberamenazas.
La presente publicación no constituye asesoramiento jurídico de sus autores. Si desea recibir periódicamente las publicaciones de Referencias Jurídicas CMS, que analizan y comentan la actualidad legal y jurisprudencial de interés, puede suscribirse a través de este formulario.
_840x420.jpg?v=3)
(W).jpg?v=1)
Las cookies de redes sociales recolectan información cuando usted comparte información de nuestro sitio vía redes sociales o la analizan para entender sus búsquedas entre sus redes sociales y nuestras campañas de Redes Sociales y nuestros propios sitios web. Hacemos esto para poder optimizar la mezcla de canales disponibles para proveerle de contenido. Los detalles de estas herramientas se encuentran en nuestra política de privacidad.