Nuevas obligaciones en políticas de transparencia para evitar ciberataques
El auge de las nuevas tecnologías, la globalización, el anonimato en internet, son algunos de los factores que han inducido a que las empresas sean cada vez más vulnerables a nuevos ataques en el ciberespacio.
Dado que el problema es global, se requiere una aproximación de carácter internacional desarrollando una legislación y colaborando a nivel internacional entre los Estados para que haya una mayor transparencia para gestionar las crisis y prevenir otros ataques.
Los expertos advierten la doble cara que ofrece la tecnología: una gran ventaja a la hora de ganar en competitividad, pero un serio riesgo al hacer que los negocios sean más vulnerables respecto a un posible ciberataque.
Internet ha creado un espacio global, donde a día de hoy están conectados más de 3.600 millones de internautas (la mitad de la población mundial) y en unos años está previsto que este porcentaje se eleve hasta el 80%.
Internet aporta rapidez y eficiencia, pero también supone anonimato, heterogeneidad y asimetría.
En definitiva, un ámbito de actuación muy atractivo para grupos criminales.
Así se puso de manifiesto durante una jornada que organizó este lunes Andersen Tax & Legal en el Auditorio de sus oficinas en Madrid para abordar los principales cambios, riesgos y sanciones a las que se someten las compañías.
Así como las medidas para cumplir con las nuevas obligaciones del Reglamento que desarrolla el Real Decreto-ley 12/2018, con la participación de Alberto Hernández, Director General de INCIBE, y Vicente Moret, of Counsel del área de Ciberseguridad de la Firma y letrado de Cortes Generales.
El pasado 7 de septiembre se aprobó el Real Decreto de seguridad de las redes y sistemas de información que establece nuevas obligaciones normativas para los operadores de servicios esenciales y los proveedores de servicios digitales con el objetivo principal de proteger al ciudadano y mantener la seguridad del país y del sistema.
Frenando así los ataques a los que están expuestos las compañías y evitando daños a empresas y sectores, principalmente los estratégicos para la economía y la sociedad.
INCIBE recibe entre 20 y 40 mil notificaciones al día de sistemas o redes infectadas en nuestro país, señaló Alberto Hernández durante su intervención, de las cuales, explicó, más del 70% se consiguen resolver el mismo día.
El año pasado el Instituto llegó a gestionar más de 111 mil ciberataques, lejos de los 18 mil que gestionaron en el 2014.
La principal causa de este volumen de ciberataques, subrayó Hernández, es “el mal uso de las tecnologías, el bajo nivel de concienciación de los usuarios y la alta dependencia de las tecnologías en nuestra sociedad”, aunque el factor clave insistió, es “la desinformación y las fake news”.
Hay que recordar que hace algo más de un año la Agencia Española de Protección de Datos (AEPD) presentaba en Madrid la Guía para la gestión y notificación de brechas de seguridad para empresas.
Se dirige, sobre todo, a compañías que tramitan datos personales que pueden dañar los derechos y libertades de las personas físicas.
El documento, elaborado en colaboración con el Centro Criptológico Nacional (CCN), ISMS Fórum e INCIBE, Instituto Nacional de Ciberseguridad, indica a las compañías cómo notificar las incidencias con este tipo de información, algo obligatorio desde la entrada en vigor del nuevo RGPD que fue aprobado el pasado 25 de mayo del 2018.
Llega el Compliance en materia de ciberseguridad
Por su parte, Vicente Moret explicó que, por primera vez, la directiva NIS establece requisitos de seguridad en el ámbito privado para los operadores de servicios esenciales.
Esto se refiere a empresas del sector de la energía, salud, tecnologías TIC, industria nuclear, transporte, alimentación, instalaciones de investigación, agua, y sistema financiero y tributario.
Este experto ya ha mencionado en otras ocasiones que los tiempos del ciberespacio como ámbito fuera de la ley se han terminado. La aprobación de la Directiva NIS, primero, y el Real Decreto-Ley 12/2018, segundo, suponen un intento de convertir la ciberseguridad en un sector de actividad casi regulado.
Según Moret, en este contexto “ha nacido el ‘Compliance’ sobre ciberseguridad que supondrá una nueva línea de negocio”.
Para este experto, los abogados tendrán que ir de la mano de los ingenieros, lo que supone un primer paso y un gran avance para que el mundo del derecho entre para quedarse en el mundo de la ciberseguridad.
Junto a ellos también afecta a los proveedores de servicios digitales, entre ellos: ecommerce, motores de búsqueda y servicios de computación en nube, aunque quedan exentos de la normativa las microempresas con menos de 10 asalariados y un volumen de negocios anual de menos de dos millones de euros.
Así como las pequeñas empresas con menos de 50 asalariados y un volumen de negocios anual menor de 10 millones.
En cuanto a las obligaciones que establece la nueva normativa, Vicente Moret explicó que las empresas afectadas deben establecer una política de seguridad, gestionar los incidentes de seguridad y notificar los ciberataques.
Moret avisó a las empresas presentes en la jornada que ya existe un régimen sancionador que se puede aplicar con todas las garantías y que, por la comisión de infracciones muy graves se establece una multa de 500 mil hasta un millón de euros, para las infracciones graves, la multa desciende a los 100 mil pero que podría llegar a 500 mil euros y para las infracciones leves, la multa será de menos de 100 mil euros, aunque el daño reputacional, advirtió Moret, será mucho mayor.