“La ciberseguridad es una de las obligaciones de cumplimiento normativo de las compañías”
“Las fugas de datos pueden generar responsabilidad de la empresa hacia los usuarios” “La tecnología predictiva ayuda a anticipar y combatir los ataques informáticos”
El trabajo en el área legal de una de las mayores compañías tecnológicas globales, como es Microsoft, ofrece una muy precisa visión del conjunto de problemas que en estos momentos relacionan al derecho y a la tecnología, tal como ponen de manifiesto los responsables de su unidad de lucha contra el cibercrimen. En una entrevista con todo el equipo, su directora, la española Helena Pons-Charlet, comienza destacando el riesgo, no solo económico, sino también legal, que la ciberdelincuencia plantea a las empresas: "Se trata de un riesgo real, que durante mucho tiempo ha sido subestimado pero que ahora empieza a ser tomado en serio, pues en la actualidad el 72 % de las empresas ya han sido atacadas". Y las consecuencias de estos ataques pueden ser muchas: desde la sustracción de información confidencial sobre planes de negocio o sus clientes, a pérdidas muy importantes de productividad por tener que parar la actividad.
A ello hay que añadir, además, el daño reputacional; si se probase que la empresa no ha obrado con la diligencia necesaria para proteger la información de sus clientes, puede haber un riesgo legal de naturaleza contractual o extracontractual que cada vez es más relevante.
Como señala Asier Crespo, director jurídico de la misma unidad, "igual que cualquier empresa puede ser víctima de la conducta inapropiada de uno de sus empleados, cualquier empresa puede ser víctima de ciberataques y, por ello, ha de tener implantadas herramientas de seguridad para prevenirlos, incluyendo protocolos para la detección de los ataques y su mitigación una vez producidos. Además, no basta con tener definida una política, hay que aplicarla". En definitiva, añade, "se trata de considerar la ciberseguridad como una más de las obligaciones de cumplimiento normativo, o compliance, a que están sometidas las compañías".
Marco normativo
Gabriel López Serrano, director de asuntos regulatorios de Microsoft en España, destaca que el principal problema asociado a la ciberdelincuencia es la extraterritorialidad, porque los ciberdelincuentes no suelen residir en el país en el que se produce el ataque.
Ello hace necesario armonizar al menos el trabajo que se hace a nivel europeo para fomentar la cooperación en la lucha contra este fenómeno, en particular, en lo relativo a la prueba electrónica. Como destaca a este respecto Pons-Charlet, "aunque el Convenio de Budapest sobre ciberdelincuencia es un marco adecuado, deja demasiados aspectos en el aire"; por ello, "los mecanismos actuales son excesivamente lentos y así no se puede abordar eficazmente el problema".
La importancia del RGPD
En este contexto, el nuevo Reglamento europeo General de Protección de Datos (RGPD), que comenzará a ser aplicable a partir de mayo de 2018, tendrá, entre otras, la virtud de poner de manifiesto el problema que representa la ciberdelincuencia. Como destaca Helena Pons-Charlet, "uno de los grandes retos a los que se enfrentan las autoridades proviene de la falta de denuncia por parte de las víctimas de los ataques, lo que dificulta notablemente las investigaciones". Pero el reglamento especifica la obligación de denunciar las violaciones o brechas de seguridad en las primeras 72 horas, lo que va a dar a las autoridades una oportunidad para combatirlas.
Además, añade Crespo, "el reglamento europeo establece la obligatoriedad de establecer políticas de prevención, así como la realización de evaluaciones de impacto (o PIA's, por Privacy Impact Assessment, en inglés) o el diseño de la privacidad desde el inicio del tratamiento de datos. Es decir, obliga a las empresas a trabajar en previsión de lo que puede suceder antes de un ataque, porque, dado que existe la certeza de que este va a llegar, lo importante es disponer de las medidas para prevenirlo, detectarlo y paliarlo".
Técnicas predictivas
En esta lucha contra la ciberdelincuencia, Pons-Charlet destaca la importancia y utilidad de las herramientas que tratan de identificar patrones de comportamiento anormales que ayudan a detectar que una empresa está siendo víctima de un ataque. "El hecho de que un usuario o una máquina esté realizando su trabajo de una manera no habitual puede ser una señal de alerta para los administradores del sistema". Pero estas tecnologías, añade la directora, no sirven de mucho por sí solas, deben formar parte del resto de herramientas utilizadas por la empresa (antivirus, sistemas de backup, sistemas de contraseñas seguras) y, por supuesto, de una cultura interna de prevención y seguridad.
La lucha jurídica
Una vez producido un ataque, se pone en marcha una maquinaria jurídica destinada, en palabras de la responsable de la unidad que la combate desde Microsoft, a intentar desmantelar la estructura técnica del delincuente, cortándole el acceso a sus servidores para evitar que siga haciendo daño.
Para este tipo de acciones, su equipo jurídico suele invocar el acceso no autorizado a sistemas informáticos ajenos, la vulneración del secreto de las comunicaciones o figuras como la dilución de marcas o el enriquecimiento injusto.
E igualmente importante es advertir a las víctimas de que están siendo atacadas, porque estas, en promedio, llegan a tardar hasta 140 días en ser conscientes de ello.
El entorno ‘cloud’
La computación en la nube es una de las tecnologías surgidas como consecuencia del importante desarrollo tecnológico experimentado en los últimos años. La posibilidad de almacenar, compartir y procesar datos a través de una infraestructura ajena a la empresa, por medio de un proveedor especializado, aporta importantes ventajas, no solo relacionadas con el ahorro de costes y sistemas, sino también por disponer de elevadas garantías de seguridad.
Por ello, para contratar a un proveedor de servicios en la nube con garantías, Asier Crespo recomienda considerar, “en primer lugar, aspectos como el de la transparencia: el proveedor debe explicar adecuadamente en qué consiste su trabajo, en qué condiciones lo realiza y qué compromisos explícitos asume, en particular en cuanto al cumplimiento de la normativa aplicable, así como los estándares que utiliza (por ejemplo, la norma ISO 27018)”.
Igualmente, según sostiene este experto, en estos momentos resulta particularmente relevante saber si está adaptado a las exigencias del RGPD. También es importante que explicite el lugar donde van a almacenarse los datos y la política de acceso a los mismos.
Y, finalmente, es clave la transparencia del proveedor en cuanto a los compromisos concretos y verificables que asume sobre las medidas de control y seguridad que tiene instaladas.