21 julio 2020

Ciberseguridad y compliance tecnológico en la transformación digital

Susana GonzálezPor Susana González
sigueme-abogaciaes

Llevamos años hablando de transformación digital, de sus procesos y de la necesidad de contar con una sólida estrategia y plan de acción necesarios para acometer su ejecución progresiva.

De pronto y a nivel mundial nos sorprende a todos la Pandemia Covid-19, que nos ha obligado a operar gracias a y con la tecnología, sin que en la mayor parte de las ocasiones tuviéramos identificado ni un solo proceso tecnológico para poder trabajar.

La inmensa mayoría de las organizaciones, grandes y pequeñas, siguen trabajando contra sus propios servidores; disponiendo de cuentas de correo sobre plataformas no corporativas ni seguras; manteniendo redes Wifi abiertas o sin una correcta configuración de seguridad; contando con políticas de contraseñas débiles; no actualizando sistemas operativos, ni aplicaciones y, sobre todo, trabajando en ordenadores de sobremesa no portátiles.

En la mayoría de las ocasiones, la agilidad con la que se ha tomado la decisión de teletrabajar, ha situado a las organizaciones en un escenario de claro incumplimiento y riesgos de ciberseguridad al depender de activos de información personales de los usuarios que, en su mayoría, carecen de las necesarias medidas de seguridad.

Se ha migrado a plataformas digitales y herramientas colaborativas gratuitas para poder mantener reuniones; para procurar la conexión remota al escritorio de nuestros ordenadores, dejándolos permanentemente encendidos y desbloqueados; se ha copiado información en ordenadores personales, dispositivos USB y discos duros externos; se ha compartido información con plataformas en la nube gratuitas fuera del control de la organización; se ha estado expuesto sin control a correos maliciosos (phishing) que buscan obtener información personal; a noticas falsas o “fake news” que, llamando la atención sobre la pandemia, conducen a sitios maliciosos que buscan extraer información de los dispositivos llegan a ellos, etc.

Con ello, definitivamente se ha expuesto nuestra información y la de nuestros clientes a una enorme amenaza a la par que, como mínimo, se ha incumplido la normativa de protección de datos.

Estamos a tiempo de estudiar un buen plan de contingencia y de respuesta que garantice nuestra continuidad.

CiberseguridadEl creciente uso de la tecnología ha incrementado los ciberataques. Debemos ser previsores y estructurar cuanto antes nuestra forma de trabajar con y desde la tecnología.

Para ello es vital diseñar una sólida estrategia de IT Compliance y ciberseguridad, partiendo de identificar nuestro mapa de exposición (riesgos y vulnerabilidades) para poder conocer y planificar los controles a implantar que nos conduzcan a minimizar nuestros riesgos de incumplimiento y de seguridad de la información que tratamos, y no finalizar nunca el ciclo, mediante un plan de mejora constante.

La previsión de que existan circunstancias cambiantes que, en cualquier momento, nos obliguen a adaptarnos a una nueva realidad para continuar trabajando, nos exige pensar en el uso de tecnologías que garanticen la continuidad de nuestro trabajo; que nos permitan monitorizar la productividad de las personas de nuestros equipos; a la par que cumplir las nuevas normativas que puedan imponerse evitando otros incumplimientos y riesgos de seguridad que se deriven de nuestra falta de planificación y del uso de herramientas gratuitas.

Orientar nuestras miras a migrar nuestra información a plataformas contra la nube con capa de seguridad y sistemas de videovigilancia IP; a diseñar protocolos de actuación sólidos en materia de seguridad y cumplimiento respecto de plataformas autorizadas y uso seguro del correo electrónico; diseñar bien nuestras políticas de copias de seguridad y contraseñas; concienciar, sensibilizar y formar a nuestros equipos, aportándoles la información necesaria para identificar las concretas amenazas a las que estamos expuestos y qué deben hacer para evitarlas, es un buen inicio para prevenir y minimizar riesgos.

La brecha digital se ha disminuido, es una gran oportunidad.

Si a los riesgos comentados hasta ahora sumamos que; muchas veces sin darnos cuenta, ya somos usuarios de herramientas que utilizan Inteligencia Artificial (IA) en nuestros hogares; que cada vez conectamos más dispositivos y electrodomésticos a Internet (IoT), y cada vez utilizamos más las redes sociales aportando información personal valiosísima para quienes diseñan ciberataques, es fácil pensar que la especialización en compliance tecnológico y ciberseguridad esté suponiendo una oportunidad ante la enorme demanda de servicios de gestión de riesgos tecnológicos directamente relacionados con el cumplimiento normativo y la ciberseguridad.

¿Qué hacemos cuando sabemos que tenemos un problema pero no sabemos por dónde empezar para encontrarle una solución?

Generalmente, la mejor opción es ordenar. Ordenar ideas, ordenar cosas, ordenar personas.

En riesgos tecnológicos y de IT Compliance es vital comenzar con la identificación y valoración de los riesgos, así como con el inventario de activos, licencias, funciones y personas propietarias de dichos equipos y riesgos.

Solo así podremos proseguir con la configuración de sus privilegios de acceso a determinada información mediante software específico que nos permita no solo asignarles una contraseña y su periodicidad, sino también cumplir con la normativa de protección de datos; de control horario; monitorizar su productividad; gestionar y reportar incidencias y evitar la sustracción o acceso no autorizado a determinada información confidencial y secretos empresariales.

Solo así podremos prever salvaguardas al uso no autorizado o no confidencial de la información que, tras la entrada en vigor de la Ley de Secretos Empresariales, exige una adecuada clasificación e identificación de la información confidencial, se halle en el soporte en el que se halle; para poder, en su caso, ejercitar algún tipo de reclamación ante un potencial acceso, modificación y/o difusión no autorizada.

En ciberseguridad y cumplimiento hay una clave esencial. Puedes contar con tecnología puntera implantada que funcione y sea bien gestionada por un responsable; sin embargo, si la tecnología no lleva aparejada un proceso estructurado y, sobre todo, documentado, implantado y debidamente comunicado a las partes interesadas en su aplicación y repercusión, no vale de mucho en la práctica, cuando la tecnología o el responsable en cuestión fallan.

La abogacía se ha transformado y especializado para ofrecer a las empresas y organizaciones seguridad jurídica sus procesos de transformación digital, desde la visión del compliance tecnológico y la ciberseguridad, siendo una buena guía para ello las Especificaciones UNE 0060 y 0061.

Susana González
Abogado especialista en derecho tecnológico, ciberseguridad y marketing digital
WEB: Susana González Ruisánchez
TWITTER: @SuDigitalLawyer

Comparte: