07
d'Octubre
de
2014
Avui en dia, qui més qui menys, disposa d'alguna informació sobre la seva empresa al núvol o a Internet. Són moltes les empreses que, per raó d'espai, rapidesa, eficiència, contracten serveis d'emmagatzemament d'informació al cloud, treballen amb eines o aplicacions online o disposen del correu corporatiu al núvol, per exemple.
Això comporta que moltes empreses puguin ser objecte d'un atac al ciberespai, independentment de les dimensions de les mateixes. Prova de la importància que està adquirint aquesta realitat, aquest mes d'octubre es celebra el Mes de la Ciberseguretat a Europa, o European Ciber Security Month.
I què podem fer nosaltres davant d'un ciberatac a la nostra empresa? Des del nostre punt de vista, cal que tinguem en compte dues situacions: les mesures preventives i què podem fer quan es produeix.
En primer lloc, pel que fa a adoptar mesurespreventives, el més recomanable seria elaborar un pla de seguretat de la nostra empresa, amb el qual puguem determinar quina és la situació en què ens trobem; determinar l'abast sobre qui volem actuar o controlar mitjançant aquest pla de seguretat; definir els responsables de l'empresa pel que fa a la gestió dels nostres actius i descriure els procediments a seguir, implicant no només al personal d'informàtica de l'entitat sinó tota la resta de treballadors i col·laboradors.
Així, per una banda, és important que l'entitat disposi d'una bona infraestructurainformàtica pel que fa a seguretat: una xarxa el més segura possible, amb còpies de seguretat periòdiques; controls d'incidències i d'accessos als programes i bases de dades de l'entitat; disposar de procediments d'assignació d'usuaris i contrasenyes adequats, amb una periodicitat en el canvi de les mateixes (mínim d'un cop l'any, segons la protecció de dades); així com es coneguin els possibles riscos que l'entitat pot tenir pel fet de treballar al núvol, operar o moure's per les xarxes socials.
Per exemple: pot ser atacada la nostra empresa per virus o disposem d'un sistema anti-virus efectiu? Què podem fer si hi ha una pèrdua de dades i no disposem de còpies de seguretat? Els mòbils de l'empresa, disposen d'algun sistema per controlar o limitar l'accés en cas de pèrdua o robatori? Podem ser objecte de phising per part de tercers? Com treballem a les xarxes socials i quins riscos podríem tenir per ser-hi? Tenim pàgina web amb botiga online on es recullen dades dels clients? Quins riscos podem tenir en relació amb això?
I per altra banda, que tinguem controlat qui accedeix també a la nostra informació, com els nostres treballadors, disposant de manuals de bonespràctiques en relació amb l'ús de la informació; i ens protegim adequadament, respecte de totes aquelles empreses que ens presten un servei, mitjançant la firma dels corresponents contractes de confidencialitat o encarregat de tractament, assegurant-nos que si contractem serveis al núvol, reuneixin uns requisits mínims. També pot ser convenient la contractació d'algun tipus d'assegurança per aquest tipus de situacions.
Si preparem un pla amb anticipació, segurament evitarem danys més nocius per a la nostra empresa a la llarga. Podem trobar informació molt útil en aquest sentit, a la pàgina web de l'Institut Nacional de Tecnologies de la Informació (INTECO).
En segon lloc, si no disposem d'un pla de seguretat i actuació, davant aquests casos, caldrà que analitzem:
1. Si podem determinar qui és el responsable del ciberatac per poder actuar contra ell.
2. Determinar davant quin tipus d'infracció o delicte ens trobem – caldrà veure-ho donat que avui en dia tots els delictes del ciberespai no es troben tipificats al Codi Penal i llavors caldria analitzar en quin tipus dels vigents, es pot incloure-. Així mateix, caldrà analitzar si existeix algun tipus de responsabilitat civil reclamable enfront aquests responsables.
3. Si nosaltres tenim alguna responsabilitat en el fet de no haver adoptat totes les mesures de seguretat necessàries a escala informàtica, documental, organitzatiu i físic i, per tant, si som responsables també via civil o penal. Avui en dia, són moltes empreses les que disposen d'un programa de Compliance Penal intern on es troben determinats els riscos de l'empresa en l'àmbit penal i on aquest tipus de situacions podrien estar contemplades.
4. Determinar si hi ha alguna responsabilitat per part de tercers que hàgem contractat per al manteniment de la nostra infraestructura. És a dir, analitzar si algun dels nostres proveïdors ha pogut cometre una infracció i posat en perill la nostra seguretat informàtica.
5. Posar-ho en coneixement de les autoritats competents (Mossos d'Esquadra, Policia Nacional, Fiscalia...) per tal que procedeixin a investigar els fets, ho posin en coneixement del jutge competent, si correspon; i per tant, es pugui obrir la via judicial en aquest sentit.
6. Serà molt important l'assessorament legal d'un advocat en tots aquests temes, ja que amb la seva ajuda podrem determinar el tipus delictiu o infracció, l'atribució de responsabilitats i com podem actuar per defensar-nos o reclamar via extrajudicial o judicial.
7. En funció del tipus de ciberatac de què hàgim estat objecte, caldrà que a més, adoptem una altra sèrie de mesures no legals, més aviat relacionades amb el màrqueting. Per exemple, imaginem que en virtut d'un atac per phísing, hem perdut credibilitat entre els nostres clients o seguidors a xarxes socials. En aquest cas, serà recomanable adoptar una estratègia – que també es podia haver previst al pla de seguretat inicial – de màrqueting, destinada a millorar la nostra imatge o reputació digital dins la xarxa.
8. Prendre mesures per evitar que es tornin a produir aquest tipus de situacions o tenir-les detectades i controlades i confeccionar un pla de seguretat en aquest sentit.
És tal la rellevància que està adquirint aquest tema que fa unes setmanes, l'Associació d'Experts Nacionals de l'Advocacia (ENATIC) i l'Associació Espanyola per al Foment de la Seguretat de la Informació van publicar un estudi sobre la Responsabilitat Legal enfront un ciberatac; molt útil per als que vulguin aprofundir sobre aquesta matèria.
Això comporta que moltes empreses puguin ser objecte d'un atac al ciberespai, independentment de les dimensions de les mateixes. Prova de la importància que està adquirint aquesta realitat, aquest mes d'octubre es celebra el Mes de la Ciberseguretat a Europa, o European Ciber Security Month.
I què podem fer nosaltres davant d'un ciberatac a la nostra empresa? Des del nostre punt de vista, cal que tinguem en compte dues situacions: les mesures preventives i què podem fer quan es produeix.
En primer lloc, pel que fa a adoptar mesurespreventives, el més recomanable seria elaborar un pla de seguretat de la nostra empresa, amb el qual puguem determinar quina és la situació en què ens trobem; determinar l'abast sobre qui volem actuar o controlar mitjançant aquest pla de seguretat; definir els responsables de l'empresa pel que fa a la gestió dels nostres actius i descriure els procediments a seguir, implicant no només al personal d'informàtica de l'entitat sinó tota la resta de treballadors i col·laboradors.
Així, per una banda, és important que l'entitat disposi d'una bona infraestructurainformàtica pel que fa a seguretat: una xarxa el més segura possible, amb còpies de seguretat periòdiques; controls d'incidències i d'accessos als programes i bases de dades de l'entitat; disposar de procediments d'assignació d'usuaris i contrasenyes adequats, amb una periodicitat en el canvi de les mateixes (mínim d'un cop l'any, segons la protecció de dades); així com es coneguin els possibles riscos que l'entitat pot tenir pel fet de treballar al núvol, operar o moure's per les xarxes socials.
Per exemple: pot ser atacada la nostra empresa per virus o disposem d'un sistema anti-virus efectiu? Què podem fer si hi ha una pèrdua de dades i no disposem de còpies de seguretat? Els mòbils de l'empresa, disposen d'algun sistema per controlar o limitar l'accés en cas de pèrdua o robatori? Podem ser objecte de phising per part de tercers? Com treballem a les xarxes socials i quins riscos podríem tenir per ser-hi? Tenim pàgina web amb botiga online on es recullen dades dels clients? Quins riscos podem tenir en relació amb això?
I per altra banda, que tinguem controlat qui accedeix també a la nostra informació, com els nostres treballadors, disposant de manuals de bonespràctiques en relació amb l'ús de la informació; i ens protegim adequadament, respecte de totes aquelles empreses que ens presten un servei, mitjançant la firma dels corresponents contractes de confidencialitat o encarregat de tractament, assegurant-nos que si contractem serveis al núvol, reuneixin uns requisits mínims. També pot ser convenient la contractació d'algun tipus d'assegurança per aquest tipus de situacions.
Si preparem un pla amb anticipació, segurament evitarem danys més nocius per a la nostra empresa a la llarga. Podem trobar informació molt útil en aquest sentit, a la pàgina web de l'Institut Nacional de Tecnologies de la Informació (INTECO).
En segon lloc, si no disposem d'un pla de seguretat i actuació, davant aquests casos, caldrà que analitzem:
1. Si podem determinar qui és el responsable del ciberatac per poder actuar contra ell.
2. Determinar davant quin tipus d'infracció o delicte ens trobem – caldrà veure-ho donat que avui en dia tots els delictes del ciberespai no es troben tipificats al Codi Penal i llavors caldria analitzar en quin tipus dels vigents, es pot incloure-. Així mateix, caldrà analitzar si existeix algun tipus de responsabilitat civil reclamable enfront aquests responsables.
3. Si nosaltres tenim alguna responsabilitat en el fet de no haver adoptat totes les mesures de seguretat necessàries a escala informàtica, documental, organitzatiu i físic i, per tant, si som responsables també via civil o penal. Avui en dia, són moltes empreses les que disposen d'un programa de Compliance Penal intern on es troben determinats els riscos de l'empresa en l'àmbit penal i on aquest tipus de situacions podrien estar contemplades.
4. Determinar si hi ha alguna responsabilitat per part de tercers que hàgem contractat per al manteniment de la nostra infraestructura. És a dir, analitzar si algun dels nostres proveïdors ha pogut cometre una infracció i posat en perill la nostra seguretat informàtica.
5. Posar-ho en coneixement de les autoritats competents (Mossos d'Esquadra, Policia Nacional, Fiscalia...) per tal que procedeixin a investigar els fets, ho posin en coneixement del jutge competent, si correspon; i per tant, es pugui obrir la via judicial en aquest sentit.
6. Serà molt important l'assessorament legal d'un advocat en tots aquests temes, ja que amb la seva ajuda podrem determinar el tipus delictiu o infracció, l'atribució de responsabilitats i com podem actuar per defensar-nos o reclamar via extrajudicial o judicial.
7. En funció del tipus de ciberatac de què hàgim estat objecte, caldrà que a més, adoptem una altra sèrie de mesures no legals, més aviat relacionades amb el màrqueting. Per exemple, imaginem que en virtut d'un atac per phísing, hem perdut credibilitat entre els nostres clients o seguidors a xarxes socials. En aquest cas, serà recomanable adoptar una estratègia – que també es podia haver previst al pla de seguretat inicial – de màrqueting, destinada a millorar la nostra imatge o reputació digital dins la xarxa.
8. Prendre mesures per evitar que es tornin a produir aquest tipus de situacions o tenir-les detectades i controlades i confeccionar un pla de seguretat en aquest sentit.
És tal la rellevància que està adquirint aquest tema que fa unes setmanes, l'Associació d'Experts Nacionals de l'Advocacia (ENATIC) i l'Associació Espanyola per al Foment de la Seguretat de la Informació van publicar un estudi sobre la Responsabilitat Legal enfront un ciberatac; molt útil per als que vulguin aprofundir sobre aquesta matèria.