_
_
_
_
En colaboración conLa Ley
_
Ciberseguridad
Tribuna
Artículos estrictamente de opinión que responden al estilo propio del autor. Estos textos de opinión han de basarse en datos verificados y ser respetuosos con las personas aunque se critiquen sus actos. Todas las tribunas de opinión de personas ajenas a la Redacción de EL PAÍS llevarán, tras la última línea, un pie de autor —por conocido que éste sea— donde se indique el cargo, título, militancia política (en su caso) u ocupación principal, o la que esté o estuvo relacionada con el tema abordado

Gestión legal y estratégica del riesgo a raíz de la invasión de Ucrania

Las actividades cibernéticas maliciosas podrían considerarse un ataque armado en determinadas circunstancias

Un joven rodeado de monitores. Getty Images
Un joven rodeado de monitores. Getty Images

Datos y relato. Cuentas, sin cuentos. A día hoy, los ciberataques constituyen la segunda amenaza real para España según el último informe del departamento de Seguridad Nacional. El 40% de los ataques de ransomware se orienta hacia empresas, el 16% a municipios, 13% al sector educación, 13% al sector salud, 11% a infraestucturas, 4% viajes y 3% finanzas. En este sentido, como riesgo nacional y corporativo diario, la ciberdefensa debe considerarse como inversión estratégica incuestionable.

Ahora bien, desde un punto de vista internacional y de la legislación OTAN, ¿puede considerarse un ciberataque como un ataque armado? Según señala el artículo 5 del Tratado Atlántico Norte 1949: “Un ataque a un solo miembro de la OTAN se considera un acto de violencia contra todos los miembros y digno de represalia”.

Los ciberataques a Estonia en la primavera de 2007 activaron la necesidad de un replanteamiento del concepto de “ataque”. Así se decidió crear una política sobre ciberdefensa oficial, la cual fue aprobada en 2008. A raíz de la Cumbre de la OTAN en Bruselas en 2021, la OTAN asume, por lo tanto, que está dispuesta a “emplear la gama completa de capacidades en todo momento para disuadir activamente, defenderse y contrarrestar el espectro completo de ciberamenazas, incluidas las realizadas como parte de campañas híbridas, de acuerdo con el derecho internacional”.

Los aliados reconocen, por lo tanto, que el impacto reiterado de actividades cibernéticas maliciosas significativas podría, en determinadas circunstancias, considerarse como un ataque armado. Ahora bien, ¿qué se considera, por lo tanto, por Seguridad Nacional? Lo define el artículo 10 de la Ley de Seguridad Nacional: “Se considerarán ámbitos de especial interés de la Seguridad Nacional aquellos que requieren una atención específica por resultar básicos para preservar los derechos y libertades, así como el bienestar de los ciudadanos, y para garantizar el suministro de los servicios y recursos esenciales. A los efectos de esta ley, serán, entre otros, la ciberseguridad, la seguridad económica y financiera (…)”.

Establecido el contexto general, abordemos el contexto específico de la seguridad de la información. Una buena defensa conlleva una táctica y una estrategia (artículo 5 ISO 31022). Empecemos por abarcar un ámbito operativo básico en el ámbito de la ciberseguridad: el nombramiento de un CISO (Chief Information Security Officer) y la declaración de aplicabilidad, según el Rel Decreto 43/2021, de 27 de enero.

En el plazo de tres meses (abril 2021) las empresas han debido nombrar un director de seguridad de la información. Una vez designado, la empresa deberá realizar un documento denominado declaración de aplicabilidad.

A grandes rasgos, en este documento se analizan las medidas de ciberseguridad que tiene actualmente la empresa y se reflejan las deficiencias detectadas y cómo se pretenden solucionar, incluyendo un plan de seguimiento para que verificar que se consigan los requisitos mínimos.

La declaración de aplicabilidad debe ser presentada y firmada por el responsable de seguridad en un plazo de seis meses, es decir, en julio de 2021. Además, será revisable como mínimo cada tres años.

Esto conlleva, a su vez, la realización de un eficaz análisis de riesgos y una objetiva evaluación de impacto. A partir de ahí, se trazan las respectivas líneas de defensa, tanto en el ámbito legal como operativo, que debe tener y aplicar toda organización, pública y privada, principalmente en tres áreas: gobernanza, auditoria y cumplimiento normativo.

En definitiva, necesitamos seguir afianzando, como nación y empresa, y sin complejos absurdos, la conciencia de ética y gobernanza, junto con la cultura de seguridad. Toda cultura conlleva conocer, porque sólo se ama lo que se conoce y sólo se defiende lo que se ama.

Pedro Fernández-Villamea Alemán, coordinador legal y de cumplimiento normativo. Abogado y consultor estratégico

Archivado En

_
_