Firmas

La ciberseguridad también es «Compliance

La ciberseguridad también es «Compliance
Javier Puyol, socio director de Puyol Abogados & Partners y uno de los grandes especialistas en el campo jurídico-tecnológico. Foto: Confilegal.
07/8/2023 06:31
|
Actualizado: 08/8/2023 10:43
|

La ciberseguridad es la práctica de defender las computadoras, los servidores, los dispositivos móviles, los sistemas electrónicos, las redes y los datos de ataques maliciosos.

También se conoce como seguridad de tecnología de la información o seguridad de la información electrónica.

El término se aplica en diferentes contextos, desde los negocios hasta la informática móvil, y puede dividirse en algunas categorías comunes, entre los que cabe destacar los siguientes:

a). La seguridad de red es la práctica de proteger una red informática de los intrusos, ya sean atacantes dirigidos o «malware» oportunista.

b). La seguridad de las aplicaciones se enfoca en mantener el software y los dispositivos libres de amenazas. Una aplicación afectada podría brindar acceso a los datos que está destinada a proteger. La seguridad eficaz comienza en la etapa de diseño, mucho antes de la implementación de un programa o dispositivo.

c). La seguridad de la información protege la integridad y la privacidad de los datos, tanto en el almacenamiento como en el tránsito.

d). La seguridad operativa incluye los procesos y decisiones para manejar y proteger los recursos de datos. Los permisos que tienen los usuarios para acceder a una red y los procedimientos que determinan cómo y dónde pueden almacenarse o compartirse los datos se incluyen en esta categoría.

e). La recuperación ante desastres, y la continuidad del negocio, definen la forma en que una organización responde a un incidente de ciberseguridad, o, a cualquier otro evento que cause que se detengan sus operaciones o se pierdan datos. Las políticas de recuperación ante desastres establecen la manera en que la organización restaura sus operaciones e información, a los efectos de poder volver a la misma capacidad operativa que antes del evento dañoso. La continuidad del negocio constituye el plan al que recurre la organización cuando intenta operar sin determinados recursos como consecuencia del ciberataque producido.

f). La capacitación del usuario final aborda el factor de ciberseguridad más impredecible: las personas. Si se incumplen las buenas prácticas de seguridad, cualquier persona puede introducir accidentalmente un virus en un sistema que de otro modo sería seguro.

Por tanto, proporcionar formación a los usuarios sobre determinados aspectos de la ciberseguridad como: (i) eliminar los archivos adjuntos de correos electrónicos sospechosos; (ii) a no conectar unidades USB no identificadas y (iii) otras lecciones importantes, constituye una baza fundamental para garantizar la seguridad de cualquier organización.

CÓDIGO DE BUEN GOBIERNO DE LA CIBERSEGURIDAD

Con el propósito de garantizar la seguridad en todas las organizaciones, en el mes de junio de 2023 se ha publicado el Código de Buen Gobierno de la Ciberseguridad, donde se pone de manifiesto, aspectos que vinculan la ciberseguridad, con el buen gobierno corporativo, y la necesidad de llevar a cabo por los órganos de administración de las organizaciones planteamientos serios y rigurosos en este ámbito, incidiendo con ello en el mundo del «Compliance» y del Cumplimiento Normativo.

En este sentido, se señala que la ciberseguridad se ha convertido en el pilar estratégico sobre el que poder asentar la revolución digital que han experimentado todos los sectores de la sociedad, incluyendo Administraciones públicas, empresas y ciudadanía.

Solo sobre la base de la ciberseguridad es posible continuar avanzando de forma segura en dicha transformación digital en la que están inmersa la mayoría de las organizaciones hoy en día

Se menciona la evolución que está sufriendo el marco regulatorio en esta materia en los últimos años, convirtiéndose en un fenómeno global dentro del marco europeo, pero que tiene un gran impacto también en los ordenamientos jurídicos locales, fundamentalmente con el objetivo de mejorar la ciberseguridad en todos los ámbitos de actividad, siendo muchos los sectores que se van incorporando de manera secuencial a esta preocupación vinculada a la ciberseguridad.

Esta paulatina transformación de los ámbitos de actividad se justifica como razón principal, por los cada vez más frecuentes y costosos efectos negativos soportados por las organizaciones, bien a causa de ciberataques, bien debido a la inadecuada gestión interna de los riesgos en ciberseguridad.

Desde un punto de vista normativo, a nivel nacional, se destaca la importancia que tiene el nuevo Esquema Nacional de Ciberseguridad, recogido y regulado en el Real Decreto 311/2022, de 3 de mayo, en el que se menciona explícitamente la necesidad de proseguir en una dinámica de mejora continua y adaptativa de la ciberseguridad, en el que es cada vez más relevante del modelo de sostenibilidad del país, debido al impacto que puede generar, no solamente en la propia organización, sino también en sus empleados, proveedores, clientes y grupos de interés que puedan verse afectados por las actividades de la organización.

Así mismo debe destacarse el contenido del Real Decreto 43/2021 de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistema de información, en el que se exige el nombramiento de un responsable de la seguridad de la información en las organizaciones que reporte directamente a la alta dirección y que mantenga la debida independencia respecto de los responsables de las redes y los sistemas de información.

A nivel europeo, la Directiva UE 2022/2555 conocida como NIS 2, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, incluye medidas específicas de gobernanza de la ciberseguridad. Entre ellas, establece que los órganos de dirección de las organizaciones aprueben las medidas para la gestión de riesgos de ciberseguridad y supervisen su puesta en práctica.

Estas obligaciones legales y de buen gobierno corporativo se proyectan fundamentalmente como nuevas obligaciones cuyo cumplimiento se hace obligatorio para las empresas, y donde el órgano de administración de las mismas juega un papel determinante, precisamente, en aras de combatir eficaz y eficientemente los riesgos corporativos de cualquier clase, incluidos los de naturaleza legal y los de actividad vinculados al mundo cibernético, el cual cada vez determina y condiciona más los modelos de cumplimiento normativo, y por ende, la actividad económica de cada sector en general, y la actividad desarrollada por cada empresa en particular.

MODELO DE CUMPLIMIENTO NORMATIVO

Los objetivos que se deben tener en consideración en este Modelo de Cumplimiento Normativo vinculado a la ciberseguridad se detallan en este Código de Buen Gobierno, y hacen referencia a los siguientes aspectos:

a). Integrar en una única Política los principios maestros para gobernar la ciberseguridad. Se debe agrupar, de forma concreta y sucinta, las principales actividades que la Empresa debe realizar para gobernar de forma adecuada y madura la ciberseguridad corporativa. Para ello es importante disponer de un enfoque común de los principios maestros, medidas de seguridad y procedimientos de auditoría, así como de elementos que permitan llevar a cabo el seguimiento del cumplimiento de estándares actuales o futuros del ámbito de la ciberseguridad que puedan ser implantados.

b). Identificar las principales materias relacionadas con la gestión y los riesgos en materia de ciberseguridad que deben ser tratadas en el ámbito de la Empresa, así como, las cuestiones deban abordarse y su periodicidad.

c). Formar y concienciar al órgano de administración y al equipo directivo sobre su rol y responsabilidad en materia de ciberseguridad.

Y consecuentemente con ello servir como referencia para que el órgano de administración pueda conocer sus responsabilidades y funciones en la correcta gestión de la ciberseguridad corporativa.

d). Proporcionar una visión integrada de las responsabilidades de supervisión y reporte de la ciberseguridad, y para ello es procedente definir de forma explícita las responsabilidades de supervisión y reporte en materia de ciberseguridad, así como proporcionar orientación sobre qué eventos o incidentes significativos deben reportarse al órgano de administración de la empresa.

Los principios contenidos en una Política de Cumplimiento Normativo en materia de ciberseguridad se tienen, asimismo que aplicar siempre en la Empresa bajo el principio de proporcionalidad, teniendo en cuenta la propia complejidad de la organización, su tamaño, los riesgos a los que esté sometida, los recursos con los que cuente, pero también teniendo en cuenta el resto de las circunstancias concurrentes en el entorno de la misma y que influyen en el desarrollo de su actividad.

Todo ello lleva a considerar a la ciberseguridad, como una disciplina que de manera determinante va a ayudar a la Empresa a alcanzar sus objetivos, y consecuentemente la misma debe encontrar plenamente alineada con la misión y visión de la organización.

En este sentido, es importante que la Empresa, teniendo en cuenta las necesidades operativas del negocio y los riesgos que puedan afectar a la consecución de sus objetivos, defina de manera activa planes a corto, medio y largo plazo que aseguren que la visión de futuro se va a mantener, y al mismo tiempo, que ello lleve consigo mejoras de carácter continuo en la implementación de aquellas medidas preventivas que garanticen los estándares de ciberseguridad que sean necesarios en cada momento, permitiendo reducir la exposición al riesgo de la organización dentro de los niveles de tolerancia definidos.

LA CIBERSEGURIDAD ES UNA DISCIPLINA COMPLEJA Y DE CARÁCTER TRANSVERSAL

Dicho Código reconoce la necesidad de proceder a tomar decisiones en materia de ciberseguridad, en función del riesgo real de la materialización de las amenazas sobre la organización, propiciándose con ello la implantación de un sistema de monitorización de la eficiencia, y, consiguientemente con ello, el cumplimiento de los objetivos de seguridad definidos.

Debe considerarse como conclusión que la ciberseguridad constituye una disciplina compleja y de carácter transversal a la estructura de la organización, que por sus propias características afecta a todas las actividades de la Empresa, por lo que la misma ha de contar con una estructura adecuada, tanto en lo que atañe a su implantación como en lo relativo a su gestión, la cual ha de ser desempeñada sin lugar a duda por profesionales con formación y experiencia adecuados.

Finalmente, de acuerdo con el contenido del meritado Código de Buen Gobierno, en la elaboración de una Política sobre Ciberseguridad en el ámbito del Cumplimiento Normativo, se deben tenerse en consideración diversos aspectos con relación a la implementación de una política dentro de este ámbito, como pueden ser aquellos que se indican a continuación:

a). La gestión de la ciberseguridad. La ciberseguridad es una materia transversal de la Empresa y afecta a sus procesos de negocio. La gestión de la ciberseguridad, por tanto, debe estar guiada por las mejores prácticas y ser las adecuadas para la Empresa

b). La dotación de Recursos. La Empresa debe tener en cuenta que la función de la ciberseguridad requiere una constante y adecuada dotación de recursos asignados a su mantenimiento y mejora. Entre dichos recursos. Entre las capacidades materiales y humanas para poder llevar a cabo las funciones asignadas de forma efectiva y eficiente.

c). La gestión de incidentes y la resiliencia. La Empresa ha de definir cuándo un incidente tiene la consideración de significativo en función del impacto, y las regulaciones a las que pudiera estar sometida en los mercados en los que opere. Del mismo modo se hace necesario identificar los grupos operativos encargados de su gestión (tanto a nivel técnico y táctico, como estratégico) para minimizar el impacto en el negocio y para asegurar el cumplimiento regulatorio y la adecuada comunicación interna o externa. Y finalmente, la Empresa ha de disponer de aquellas capacidades que le permitan ser resiliente para asegurar la continuidad de las operaciones y la recuperación completa de los servicios en un plazo adecuado de tiempo que se determinará en el plan de continuidad de negocio

d). La necesidad de la formación y la concienciación en el ámbito de la Ciberseguridad. La dirección y el órgano de administración de la Empresa tienen que fomentar la formación, concienciación y cultura de ciberseguridad en toda la organización con el objetivo de capacitar a su personal acerca de los hábitos y prácticas recomendables para prevenir y mitigar riesgos en el ámbito de la ciberseguridad.

e). La innovación y mejora continua. La gestión de la ciberseguridad estará en constante mejora y evolución para garantizar una defensa adecuada ante las amenazas

f). La exigencia de realización de una actividad preventiva en el ámbito de la ciberseguridad. La Empresa debe prevenir aquellas ciber amenazas que pueden afectar a los objetivos de la organización.

Para ello, se deben tener en consideración los principales actores y las principales y más recientes ciber amenazas, considerando en todo momento, su potencial impacto sobre las operaciones de que la misma lleve a cabo

g). La autonomía del responsable de ciberseguridad en la Empresa. El responsable de seguridad de la información o CISO será una figura que goza de autonomía en el ejercicio de sus funciones. Cualquier obstáculo o impedimento que pudiera restringir el adecuado desempeño de su actividad deberá ser comunicado con carácter inmediato al Consejo de Administración de la Empresa

h). Las decisiones del Consejo de Administración. Cuando en el orden del día de las reuniones del órgano de administración figure algún tema que pueda afectar a la ciberseguridad, se tendrán que tratar las repercusiones que tenga la ciberseguridad en el referido tema como, por ejemplo: grandes iniciativas de transformación digital, implementación de nuevas tecnologías y grandes inversiones en activos tecnológicos, fusiones y adquisiciones, expansión de instalaciones o grandes actualizaciones

i). La continuidad del negocio. La ciberseguridad es parte de la estrategia de continuidad del funcionamiento del negocio de la Empresa, y su ensayo es esencial para una correcta preparación ante los ciber incidentes. La Empresa, por ello, debe llevar a cabo el desarrollo de pruebas periódicas completas que pongan a prueba los mecanismos de resiliencia como parte de los planes de ciberseguridad especialmente en lo que se refiere a los procesos críticos de la misma, y los que se correspondan con la cadena de suministro, apoyando la creación, implementación, prueba y mejora continua de los mecanismos de ciber resiliencia.

j). La gestión del riesgo. La correcta gestión, evaluación y comunicación del riesgo de ciberseguridad es un elemento clave en la gestión del riesgo corporativo para toda la Empresa.

k). La obligación de reporte periódico al Consejo de Administración y su contenido. Periódicamente, y al menos dos veces al año se reportará el resultado de la aplicación de la presente Política al Consejo de Administración de la Empresa, mediante la emisión de los correspondientes Informes.

El informe periódico debe contener al menos:

(i) el estado de la ciberseguridad;

(ii) la evolución del grado de madurez y del ciber riesgo;

(iii) la evolución de las amenazas;

(iv) la asignación de los recursos destinados a la seguridad de las redes y los sistemas de información;

(v) los incidentes significativos gestionados si los hubiera;

(vi) el estado de la seguridad de las operaciones de la cadena de suministro que dependan de terceros;

(vii) así como, cualquier resolución con relevancia en materia de ciberseguridad adoptada por el equipo directivo que pueda afectar sustancialmente a la actividad de la organización.


Otras Columnas por Javier Puyol Montero:
Últimas Firmas
  • Opinión | El artículo 324 de la Ley de Enjuiciamiento Criminal: un cinturón de castidad/impunidad para la acción penal
    Opinión | El artículo 324 de la Ley de Enjuiciamiento Criminal: un cinturón de castidad/impunidad para la acción penal
  • Opinión | El necesario respeto a los plazos en los recursos
    Opinión | El necesario respeto a los plazos en los recursos
  • Opinión | CDL: La desconocida ‘Security for Costs’ en el Derecho de Inglaterra y Gales: Un abismo para los incautos (IV)
    Opinión | CDL: La desconocida ‘Security for Costs’ en el Derecho de Inglaterra y Gales: Un abismo para los incautos (IV)
  • Opinión | Sobre los estudiantes sin visado: caso Nacho Cano
    Opinión | Sobre los estudiantes sin visado: caso Nacho Cano
  • Opinión | Así afecta la inhabilidad de agosto a los plazos procesales y judiciales
    Opinión | Así afecta la inhabilidad de agosto a los plazos procesales y judiciales