La ciberseguridad, un gran aliado a futuro

Fuente: El Economista

Patricia del Águila Barbero. 15/10/18

 

En 2017, España batió su récord en ciberataques: 120.000 incidentes, y según el Instituto Nacional de Ciberseguridad de España, los ataques en Internet han crecido un 140 por ciento en tan solo dos años. En consecuencia, y dado que la ciberseguridad es uno de los asuntos en los que más se invierte por parte de las compañías para preservar sus datos e información, los expertos ponen el foco en una regulación garantista que muy difícilmente podrá acabar con la incertidumbre de un posible ciberataque, una amenaza que, bien gestionada, hará marcar la diferencia.

Es evidente que será un asunto de gran importancia futura por el riesgo que supone para la confianza de las compañías y porque se estima, y al alza, que en 2020 serán necesarios 1,5 millones de expertos en ciberseguridad en todo el mundo para trabajar en empresas y organismos públicos. Como no es un problema baladí, no obstante, el 90 por ciento de las empresas reconocen que no son ciber-resilientes, según el informe ‘TheStateof IT Resilience’, elaborado por IDC. Por lo tanto, ¿hasta qué punto la regulación es garantista? Los expertos dan su opinión.

Diego Ramos, socio DLA Piper España, explica que el Reglamento de Protección de Datos «implica para los ciudadanos un mejor conocimiento de lo que realmente se hace con sus datos personales y una menor presión sobre su privacidad. Para las empresas, un esquema más claro de lo que pueden hacer con sus bases de datos y mayor flexibilidad en el tratamiento y la distribución de datos personales a nivel internacional». Así, una de las conocidas novedades que trae consigo la nueva normativa es la figura del delegado de Protección de Datos ya que, a juicio de Diego Ramos, «permite dar una referencia de contacto única y profesionalizada tanto para las personas interesadas cuyos datos se tratan como para la autoridad de control. Eso permite gestionar peticiones e incidencias de una forma más rápida, más eficaz y con menos problemas para las empresas y los propios interesados».

Otra de las sorpresas que puso sobre la mesa de las empresas el Reglamento son las altas cuantías de las sanciones que incluye el texto. No obstante, los expertos abogan por guardar distancias para saber si realmente el miedo que impuso a las compañías ha sido efectivo. «Cuando el Reglamento cumpla un año, haremos balance de si esos máximos han cumplido una pura función disuasoria frente a actitudes de incumplimiento estratégico reiterado que vimos en el pasado o suponen una elevación real de las sanciones medias. Si fuera esto último sería preocupante, porque supondría que las autoridades han visto un ángulo recaudatorio en el nuevo mecanismo y las empresas no han sabido responder al desafío», expresó.

Cuando se le pregunta por qué debe ser la ciberseguridad el principal quebradero de cabeza de los comités ejecutivos de las empresas, Diego Ramos discrepa: «Los ataques de seguridad online son una amenaza frente a la que las empresas sí pueden prepararse desde el punto de vista técnico y legal para mitigar el impacto negativo». A esto añade que «la ciberseguridad, como la gestión financiera, fiscal o laboral, es un área donde hay mucho que hacer, mucho que construir, muchas oportunidades de diferenciarse de los competidores, pero formando parte de la normalidad de la empresa. En ese sentido, es una tarea atractiva y exigente más que un quebradero de cabeza, afortunadamente».

¿Qué retos nos plantean los ciberataques?

Una de las preguntas que más resuenan en torno a la ciberseguridad es qué retos plantean estas amenazas y cuáles son los errores más comunes por parte de las empresas. A esta pregunta, Diego Ramos enumera básicamente tres retos «y ninguno de ellos sencillo de afrontar»:

  1. Reconocer que es simplemente imposible que antes o después nuestra empresa no sea objeto de un ciberataque que supere nuestras defensas. Las redes de información tienen, por naturaleza, una vocación de apertura y comunicación, y eso hace imposible evitar una entrada no autorizada.
  2. Aprender a adaptar todas las áreas de nuestra empresa para convivir con las ventajas y riesgos que se derivan de operar bajo la hipótesis de que el siguiente ciberataque exitoso puede ocurrir hoy mismo.
  3. Establecer planes de contingencias robustos, que permitan no solo salir del paso, sino más bien seguir actuando al 100 por ciento indefinidamente. Es algo muy parecido a lo que se hacía en los castillos de la Edad Media, aplicado a amenazas muy diferentes a las de entonces.

Sobre los errores más comunes que cometen las empresas respecto a la ciberseguridad es «paradójicamente, sentirse seguras, creer que una gran inversión en medidas de seguridad les puede hacer invulnerables». Y por si no fuera poco, «la falta de inversión aumenta tu vulnerabilidad, pero la vulnerabilidad nunca desaparece y hay que saber gestionarla», sentencia Ramos.

La regulación en esta materia «intenta proteger todo lo posible, pero va siempre por detrás de las amenazas. Lo ha hecho siempre y así será hasta que no se desarrollen métodos legislativos más ágiles», asegura. En otro sentido, explica que es garantista respecto a los derechos fundamentales de quienes lanzan los ataques, pero eso forma parte también del ADN de un sistema democrático de libertades. «Los ciberatacantes se benefician de un modelo que es positivo para el conjunto de la sociedad», expresa.

Ofensa cibernética

Por su parte, Jim Halpert, socio co-responsable de la práctica global de Protección de Datos, Privacidad y Seguridad, y co-responsable de la práctica de Ciberseguridad en EEUU, también considera que los ciberataques presentan grandes retos. En primer lugar, «son una amenaza dinámica que no se puede enfrentar con un enfoque de cumplimiento de marca la casilla, y requieren una gestión de riesgos compleja». Explica Halpert que la ofensiva cibernética tiene una gran ventaja sobre la defensa cibernética:

  1. Los métodos de ataque están ampliamente disponibles para los atacantes y siguen cambiando -incluso a través de las armas cibernéticas inventadas por los gobiernos que son eliminados por piratas informáticos y rediseñados para otros ataques-.
  2. La defensa requiere una respuesta de toda la empresa bien coordinada y bien financiada, no solo una respuesta.
  3. La defensa debe seguir adaptándose a los cambios en los métodos de ataque y las actividades de la organización, por lo que requiere un programa flexible.
  4. Algunas medidas de defensa cibernética hacen que las actividades de las organizaciones sean más complicadas o caras, por lo que implican concesiones.

Para facilitar la gestión del riesgo cibernético, DLA Piper ha ayudado a redactar el Manual de Gobernanza del Riesgo Cibernético de la Asociación Nacional de Directores Corporativos, publicado en EEUU, Alemania y el Reino Unido. Ofrece una hoja de ruta útil para que los directores corporativos establezcan un marco sólido de gobernanza de seguridad cibernética.

No obstante, Halpert afirma que «no hay garantías en la ciberseguridad». «Las reglamentaciones que incentivan las prácticas sólidas de administración de riesgos de seguridad cibernética pueden ayudar, y los artículos del RGPD sobre seguridad de datos y violación de datos sin duda mejorarán la seguridad en la Unión europea».

A juicio de Jim Halpert, la cantidad de multa potencial del RGPD atrajo la atención de las empresas estadounidenses, por lo que «logró su propósito previsto». «Sería una mejora neta en la protección de datos en la Unión si las autoridades reconocieran que mejorar la ciberseguridad de manera proporcional es un interés legítimo que anula los derechos de los interesados en las circunstancias limitadas», reivindica.

Otro de los expertos en la materia con los que hemos hablado es Patrick Van Eeche, socio co-responsable de la práctica global de Protección de Datos, Privacidad y Seguridad en DLA Piper, y avisa: el mayor error de las empresas es que nunca les sucederá a ellos, y que, en caso de que les sucediera, podrían mantenerlo para ellos, lejos de la prensa.

Asimismo, critica en parte la nueva regulación europea de Protección de Datos. «Elaboramos una legislación de casi 100 artículos para explicar cómo poner en práctica este principio básico. Esto hace que sea muy incómodo para las empresas lidiar con los detalles muy específicos y, a menudo, muy formalistas del RGPD, y les preocupa si alguna vez podrán cumplir con todas estas reglas», explica.

No obstante, reconoce que «es interesante ver que el RGPD, que es una legislación europea, ha servido de inspiración en otras partes del mundo; países como Brasil, Argentina, Sudáfrica, Australia, pero incluso California en los Estados Unidos han adoptado reglas de protección de datos que son muy similares a las del RGPD. Esto significa que, en todo el mundo, los datos personales de los ciudadanos estarán mejor protegidos».

Cuando se le pregunta por la importancia de garantizar con normativas la obligación de contar con medidas de ciberseguridad, Patrick Van Eeche argumenta que no cree que «la regulación sea una garantía, pero ciertamente activará algunas acciones. Incentivará a las empresas a invertir en ciberseguridad porque, en caso de violación de datos, podrían ser responsables de no haber tomado suficientes medidas de seguridad de la información».

¿Por qué ni siquiera Facebook puede blindarse ante estos ataques?

Recientemente, Facebook reconoció un ciberataque que dejó al descubierto información confidencial de más de 50 millones de usuarios. A este respecto, Jim Halpert recuerda que «es importante recordar que el hecho de que una organización esté violada no significa que necesariamente haya implementado medidas de seguridad inadecuadas. Las agencias de inteligencia del gobierno son exitosamente hackeadas. Todavía no sabemos cuál será el resultado de esta investigación, o si Facebook podría desafiar con éxito la imposición de una gran multa».

Para Patrick Van Eeche, esta es una prueba temprana para RGPD, especialmente sobre las reglas sobre violación de datos que son nuevas, tanto para las autoridades reguladoras como para las empresas europeas. Además, añade que «junto a una posible multa de la Autoridad de Protección de Datos de Irlanda, el RGPD también prevé la posibilidad de demandas colectivas. Con más de 5 millones de cuentas europeas impactadas, no me sorprendería que se presentara una demanda colectiva». «¡Parece que el RGPD ha comenzado a cobrar vida!», exclama.