Como actuar ante un 'ciberatac'?

Cuando Europa celebra el Mes de la Ciberseguretat, la experta y abogada Vanesa Alarcón recomienda que las empresas tengan un plan de seguridad que implique a todos los trabajadores y colaboradores

Proteger las contraseñas es fundamental
Proteger las contraseñas es fundamental
Vanesa Alarcón
07 de Octubre de 2014
Hoy en día, quien más quien menos, dispone de alguna información sobre su empresa a la nube o en Internet. Son muchas las empresas que, por razón de espacio, rapidez, eficiencia, contratan servicios de almacenamiento de información al cloud, trabajan con herramientas o aplicaciones online o disponen del correo corporativo a la nube, por ejemplo.

Esto comporta que muchas empresas puedan ser objeto de un ataque al ciberespacio, independientemente de las dimensiones de las mismas. Prueba de la importancia que está adquiriendo esta realidad, este mes de octubre se celebra el Mes de la Ciberseguretat en Europa, o European Ciber Security Month.

Y que podemos hacer nosotros ante un ciberatac a nuestra empresa? Desde nuestro punto de vista, hace falta que tengamos en cuenta dos situaciones: las medidas preventivas y que podemos hacer cuando se produce.

En primer lugar, en cuanto a adoptar medidaspreventivas, el más recomendable sería elaborar un plan de seguridad de nuestra empresa, con el cual podamos determinar cuál es la situación en que nos encontramos; determinar el alcance sobre quien queremos actuar o controlar mediante este plan de seguridad; definir los responsables de la empresa en cuanto a la gestión de nuestros activos y describir los procedimientos a seguir, implicando no sólo al personal de informática de la entidad sino todo el resto de trabajadores y colaboradores.

Así, por un lado, es importante que la entidad disponga de una buena infraestructurainformática en cuanto a seguridad: una red lo más segura posible, con copias de seguridad periódicas; controles de incidencias y de accesos a los programas y bases de datos de la entidad; disponer de procedimientos de asignación de usuarios y contraseñas adecuados, con una periodicidad en el cambio de las mismas (mínimo de una vez al año, según la protección de datos); así como se conozcan los posibles riesgos que la entidad puede tener por el hecho de trabajar a la nube, operar o moverse por las redes sociales.

Por ejemplo: puede ser atacada nuestra empresa por virus o disponemos de un sistema anti-virus efectivo? Qué podemos hacer si hay una pérdida de datos y no disponemos de copias de seguridad? Los móviles de la empresa, disponen de algún sistema para controlar o limitar el acceso en caso de pérdida o robo? Podemos ser objeto de phising por parte de terceros? Cómo trabajamos en las redes sociales y qué riesgos podríamos tener para ser? Tenemos página web con tienda online donde se recogen datos de los clientes? Qué riesgos podemos tener en relación con esto?

Y por otro lado, que tengamos controlado quién accede también a nuestra información, como nuestros trabajadores, disponiendo de manuales de buenas prácticas en relación con el uso de la información; y nos protegemos adecuadamente, respecto de todas aquellas empresas que nos prestan un servicio, mediante la firma de los correspondientes contratos de confidencialidad o encargado de tratamiento, asegurándonos que si contratamos servicios a la nube, reúnan unos requisitos mínimos. También puede ser conveniente la contratación de algún tipo de seguro por este tipo de situaciones.

Si preparamos un plan con anticipación, seguramente evitaremos daños más nocivos para nuestra empresa a la larga. Podemos encontrar información muy útil en este sentido, en la página web del Instituto Nacional de Tecnologías de la Información (INTECO).

En segundo lugar, si no disponemos de un plan de seguridad y actuación, ante estos casos, hará falta que analizamos:

1.Si podemos determinar quién es el responsable del ciberatac para poder actuar contra él.

2.Determinar ante qué tipo de infracción o delito nos encontramos – habrá que verlo dado que hoy en día todos los delitos del ciberespacio no se encuentran tipificados al Código Penal y entonces habría que analizar en qué tipo de los vigentes, se puede incluir-. Así mismo, habrá que analizar si existe algún tipo de responsabilidad civil reclamable enfrente estos responsables.

3.Si nosotros tenemos alguna responsabilidad en el hecho de no haber adoptado todas las medidas de seguridad necesarias a escala informática, documental, organizativo y físico y, por lo tanto, si somos responsables también vía civil o penalti . Hoy en día, son muchas empresas las que disponen de un programa de Compliance Penal interno donde se encuentran determinados los riesgos de la empresa en el ámbito penal y donde este tipo de situaciones podrían estar contempladas.

4. Determinar si hay alguna responsabilidad por parte de terceros que hayamos contratado para el mantenimiento de nuestra infraestructura. Es decir, analizar si alguno de nuestros proveedores ha podido cometer una infracción y ademán en peligro nuestra seguridad informática.

5. Ponerlo en conocimiento de las autoridades competentes (Mossos d'Esquadra, Policía Nacional, Fiscalía...) para que procedan a investigar los hechos, lo pongan en conocimiento del juez competente, si corresponde; y por lo tanto, se pueda abrir la vía judicial en este sentido.

6. Será muy importante el asesoramiento legal de un abogado en todos estos temas, puesto que con su ayuda podremos determinar el tipo delictivo o infracción, la atribución de responsabilidades y como podemos actuar para defendernos o reclamar vía extrajudicial o judicial.

7. En función del tipo de ciberatac de qué hayamos sido objete, hará falta que además, adoptamos otra serie de medidas no legales, más bien relacionadas con el marketing. Por ejemplo, imaginamos que en virtud de un ataque por phísing, hemos perdido credibilidad entre nuestros clientes o seguidores a redes sociales. En este caso, será recomendable adoptar una estrategia – que también se podía haber previsto al plan de seguridad inicial – de marketing , destinada a mejorar nuestra imagen o reputación digital dentro de la red.

8. Tomar medidas para evitar que se vuelvan a producir este tipo de situaciones o tenerlas detectadas y controladas y confeccionar un plan de seguridad en este sentido.

Es tal la relevancia que está adquiriendo este tema que hace unas semanas, la Asociación de Expertos Nacionales de la Abogacía (ENATIC) y la Asociación Española para el Fomento de la Seguridad de la Información publicaron un estudio sobre la Responsabilidad Legal enfrente un ciberatac; muy útil para los que quieran profundizar sobre esta materia.