La ‘jungla digital’ acecha a las empresas
La falta de concienciación favorece que reine la ley del más fuerte
En la jungla manda el más fuerte. Es la ley de la selva, donde la ausencia de todo orden y regulación hace que se impongan los más poderosos. Y esto es lo que sucede, en opinión del presidente de ISMS Forum España, Gianluca D’Antonio, en el ámbito digital. La vegetación frondosa y las garras y colmillos se han cambiado por millones de logaritmos, conexiones y bases de datos, “un mundo en el que los malos tienen mucha más facilidad para atacar a las compañías”, explicó el citado experto en la jornada Ciberseguridad en la empresa,organizada por la Asociación para el Progreso de la Dirección (APD). Esto ocurre, prosiguió, “porque mientras que las empresas tienen que proteger un segmento enorme de millones de líneas y puntos de entrada, a los ciberdelincuentes les basta con encontrar una puerta de acceso”.
Por eso, “resulta sorprendente que en un momento en el que todos hablan de transformación digital nadie haga hincapié en sus riesgos”, añadió. Lo cierto es que a las palabras de D’Antonio le avalan los últimos datos: “En lo que va de año, el Centro Criptológico Nacional ha registrado más de 19.000 incidentes cibernéticos, un 5% más que en 2015. De estos, el nivel de peligrosidad fue alto en 12.929 casos; muy alto en 369 percances, y realmente crítico en 61”, apuntó el director general y director de reputación de Aon, Pedro Tomey. Estos ataques se reducían, por ejemplo, a 3.998 en 2012 y a solo 193 en 2009. Es este crecimiento, advirtió D’Antonio, el que corrobora la existencia de esa jungla digital. Para evitar entrar en ella, o al menos para minimizar cualquier tipo de riesgo, ya que como recuerdan los expertos no existe ningún sistema o dispositivo que sea 100% seguro, D’Antonio recomienda que las empresas apliquen la seguridad desde el comienzo, es decir, “que la gestión de los riesgos cibernéticos deje de ser un aspecto exclusivamente tecnológico para pasar a ser una prioridad estratégica del negocio”. Aplicar seguridad al final de un proceso, además de ser mucho más caro, es tremendamente menos efectivo.
Hasta 90 millones de euros
No es la única razón por la que las empresas deben protegerse de los ataques, pero sí una más. El nuevo reglamento europeo en materia de ciberseguridad modifica las sanciones a las compañías víctimas de un ataque en el que se sustraiga información sensible.
Ahora mismo, la penalización máxima, dependiendo del tipo de datos robados, alcanza los 600.000 euros de multa. Con el nuevo reglamento de protección de datos, que entrará en vigor en mayo de 2018, esta cifra puede llegar a alcanzar los 90 millones de euros, dependiendo también, no obstante, del grado de confidencialidad de la información perdida.
Buena parte de la responsabilidad de que muchas organizaciones se encuentren en medio de esta jungla viene dada por la brecha existente entre la concienciación y la responsabilidad en la alta dirección. “Los consejos tienen dificultades a la hora de comprender los riesgos y, por consiguiente, los directivos no toman las decisiones que deberían”, relató la directora de ciberriesgos de Aon, Carmen Segovia.
¿Cómo se puede introducir esta preocupación en la empresa? “En primer lugar, empezando a utilizar un lenguaje relacionado con el sector cibernético, también manejando las principales amenazas y, por último, siendo conscientes del riesgo”, continuó Segovia. La clave es conseguir que una compañía pueda ser resiliente, “manteniendo un mínimo de los servicios ante un fallo de seguridad”, y englobar la respuesta a toda la organización, “ya que la prevención depende en última instancia del conjunto de la plantilla”.
Aun así, no debe olvidarse que hay determinados perfiles que requieren de liderazgo e iniciativa: “Los consejeros deben adquirir nuevas responsabilidades y pensar en nuevos paradigmas, ya que una respuesta rápida a un ciberataque depende de su liderazgo. Son la piedra angular para instaurar un plan de concienciación”, explicó Segovia. Pero no son los únicos profesionales. Otros que a priori tienen menos relación con este tipo de delitos se erigen como indispensables. Es el caso del director financiero: “Su implicación es vital. Primero, porque entre sus cometidos está proteger la información que maneja, pero también porque para impulsar medidas de prevención efectivas debe destinar un presupuesto concreto a la ciberseguridad”. A esto se le suma que, ante un ataque y sustracción de información, “este perfil es el más idóneo para hablar, entre otros, con los accionistas de la empresa”.
- Una legislación lenta
La ley del más fuerte encuentra su mejor aliado en la ausencia de legislación. Y aunque en el ámbito digital sería un poco extremista hablar de falta de normas, no es nada descabellado afirmar que la jurisprudencia va muy detrás de los acontecimientos. A esto se le suma “que en internet no hay limitaciones, y a la hora de proteger la privacidad las leyes se quedan cortas”, recalcó el comisario jefe de la Brigada Central de Investigación Tecnológica, Juan Miguel Manzanas. Por eso, recordó Gianluca D’Antonio, “es muy complicado que la jungla digital desaparezca totalmente”. Tal y como explicó la fiscal de sala del Tribunal Supremo y coordinadora nacio_nal contra la criminalidad informática, Elvira Tejada, “una regulación para el ciberespacio es una tarea excesivamente compleja, ya que son muchos los actores que intervienen, con diferentes tipos de tecnología y con fines totalmente opuestos”. Además, el carácter transnacional de la tecnología dificulta mucho más esta regulación, “porque aspectos que en un país son legales, en otros pueden estar prohibidos”.
Uno de los remedios en España ha sido el lanzamiento de la Estrategia de Ciberseguridad Nacional, “con dos objetivos principales en el ámbito empresarial”, afirmó Tejada. Por un lado, impulsar la seguridad y resiliencia del sector y de sus estructuras críticas: “Esto requiere responsabilizar a todo tipo de empresas, tanto públicas como privadas, y grandes y pequeñas, impulsando una coordinación entre ellas y que compartan riesgos, para que así la respuesta sea más rápida y unitaria”. Por otro lado, continuó la fiscal, también está previsto fijar códigos y estándares de conducta en cuanto a la ciberseguridad. “La idea final es que en el ciberespacio comiencen a regir las normas y comportamientos que determinan el día a día, aunque esto, hoy por hoy, es utópico”, reconoció.