Las ciberamenazas exponen a las empresas a riesgos económicos y jurídicos
Son el tercer riesgo a nivel internacional, después de los conflictos armados y el terrorismo Los ciberataques han crecido como consecuencia del incremento de la ciberdependencia
Sólo el 17 por ciento de las grandes empresas en España tienen articulados procedimientos técnicos sobre brechas de seguridad y el 25 por ciento de las empresas españolas continúan utilizando Windows XP, según datos del Centro de Ciberseguridad Industrial. Esto expone a las empresas a ser víctimas de ciberataques y asumir riesgos en materia de seguridad informática que van desde el menoscabo de la imagen pública de la empresa o la pérdida de competitividad frente a sociedades extranjeras, hasta posible sanciones en materia de protección de datos de hasta 600.000 euros (LOPD) o hasta 20 millones de euros o el 4 por ciento de la facturación anual (RGPDE). Este es el diagnóstico de situación en opinión de Alejandro Touriño, Socio Director de la oficina de Écija en Madrid y responsable del área de Information Technology de esta firma.
Por su parte, Francisco Martínez, ex Secretario de Estado de Seguridad del Ministerio del Interior, y experto en ciberseguridad, esbozó un panorama del estado de la cuestión a nivel nacional e internacional, realizando una reflexión documentada sobre la sociedad digital, las vulnerabilidades de una sociedad hiperconectada y las consecuencias de la ciberdelicuencia. Recordó que las ciberamenazas son el tercer riesgo a nivel internacional, después de los conflictos armados y el terrorismo, según el Informe de Seguridad Nacional 2016, elaborado por el Departamento de Seguridad Nacional (DSN), de la presidencia del Gobierno, y la ciberseguridad ocupa el tercer lugar de las líneas de acción estratégicas del Estado, tras la defensa nacional y la lucha contra el terrorismo.
En el mapa mundial de riesgos los ciberataques han crecido como consecuencia del incremento de la ciberdependencia. Actualmente hay más de 3.500 millones de usuarios de internet en el mundo (el 46 por ciento de la población) y hay 10.000 millones de dispositivos conectados a la red. El índice de conectividad a nivel internacional para el intercambio de bienes, servicios mercado financiero, redes sociales y datos se ha multiplicado por 45 en manos de 10 años.
En suma, Francisco Martínez aseguró que muchos ciberdelitos reportan un enorme beneficio y no requieren grandes conocimientos técnicos. Se estima que entre 2013 y 2015 el impacto económico de los ciberataques se cuadruplicó y la previsión es que entre 2015 y 2019 el coste del cibercrimen para las empresas vuelva a cuadruplicarse. En 2015 la compañía británica Lloyd’s estimó que el coste de los ciberataques en el ámbito empresarial ascendía a 400.000 millones de dólares al año, incluyendo el impacto directo y las pérdidas derivadas de la recuperación hasta alcanzar los niveles de negocio anteriores al ataque.
En su intervención, Helena Prieto, Socia del área de Derecho Penal de Garrigues, expone que “hay más sensibilidad en materia de cumplimiento normativo (se detecta una situación de estrés regulatorio y mayor incertidumbre en su aplicación) y también hay más sensibilidad jurídica en materia de privacidad, tanto por los intereses políticos y comerciales a los que afecta, como por algunos hechos que han adquirido una especial relevancia, como han sido los casos Wikileaks y Snowden”. Y añadió que España ha iniciado una curva ascendente en ciberataques y sus consecuencias jurídicas, aunque está en estos momentos en los niveles que vivió Estados Unidos en 1991.
Destacó que la reforma del Código Penal de 2015 introdujo la responsabilidad penal de las personas jurídicas (art. 264, de Daños informáticos, y art. 197, de Revelación de secretos) y la responsabilidad civil subsidiaria de las personas jurídicas (art. 120.4), y recoge la responsabilidad penal de los Administradores, tanto por comisión por omisión, como por posición de garante. Helena Prieto destacó que “ahora la responsabilidad alcanza a directivos y miembros de los Consejos de Administración, ya no se queda en los Directores de Sistemas, aunque el problema siguen siendo las pruebas periciales”.
Otras responsabilidades en materia de ciberataques son la responsabilidad civil de la compañía, las sanciones en materia de protección de datos y la responsabilidad de los administradores por falta de diligencia debida.
Cibersoluciones y medidas paliativas
Alejandro Touriño, Francisco Martínez y experto en ciberseguridad, y Helena Prieto, Socia del área de Derecho Penal de Garrigues, en la jornada sobre “Los desafíos de la sociedad digital: Amenazas en el ciberespacio”, organizada por Wyser y Wolters Kluwer, con la colaboración del Centro de Estudios Garrigues.
En estas condiciones Touriño recomendó a las empresas contar con un Plan de Acción ante ciberataques. Ante cualquier incidente de ciberseguridad las empresas deben identificar las situaciones de riesgo, aislar los activos afectados, identificar el origen de los riesgos y hacer las notificaciones correspondientes al INCIBE y a la Agencia de Protección de Datos. Y Francisco Martínez añadió que se debe trabajar en una serie de líneas:
Compromiso de los miembros del Consejo de Administración con el ciberrriesgo y la resiliencia de la organización.
- Conocimiento de la materia y actualización permanente.
- Contar con un responsable corporativo de ciberrriesgo, con acceso a niveles directivos y al Consejo de Administración.
- Integrar el ciberrriesgo en la estrategia corporativa.
- El nivel de resiliencia debe ser adecuado a la capacidad de asumir riesgos por la compañía.
- Elaborar informes periódicos sobre ciberrriesgos.
- Elaborar y actualizar de forma permanente los planes de contigencia frente a ciberincidentes.
- Diálogo permanente con todos los stakeholders de la compañía sobre ciberrriesgos.
- Realizar auditorías anuales de ciberrriesgos.
- Revisión permanente de los protocolos de actuación frente a ciberincidentes.