Examen a la seguridad digital de las empresas

La digitalización de la sociedad requiere que las empresas evalúen no solo las ventajas sino también los riesgos. El primer foro de ciberseguridad, LOPD y Compliance trató estos temas en el ámbito de los negocios.

Organizado por EL MUNDO en colaboración con Clavei, Siemlab y Eset, los expertos reunidos destacaron la necesidad de un cambio de actitud en el mundo empresarial para afrontar el nuevo panorama legal que llega desde Europa. La aprobación del Reglamento europeo de protección de datos abre un periodo de dos años en los que los Estados miembros han de incorporar esta normativa con la que -en el caso español- la Ley Orgánica de Protección de Datos quedará superada.

La abogada Esther Botella, socia fundadora de Compliance Control Empresarial, señaló que «el mundo de los datos está convulso» ante esta nueva situación. En esta serie de normas aplicables a todos los europeos «se establecen políticas a implementar que tienen mucho que ver con el reglamento corporativo». Botella puso muchos ejemplos de los datos que recaban las empresas tanto de consumidores como de proveedores, razón por la cual dijo que «no nos damos cuenta de que lo más importante de todo es la información», lamentó. Por eso pidió que se pusieran más medidas en el ámbito de la ciberseguridad. «La ignorancia es el estado de la felicidad absoluta», recordó, «cuando voy a hacer auditorías a las empresas hay un punto en común, no se les da relevancia a la información que tratamos». «Vivir en un mundo happy puede traer consecuencias económicas y legales», advirtió.

«Cualquier empresa no tiene la percepción de que les puede pasar a ellos», terció Carlos Rodríguez. El director de la división de Sistemas y Ciberseguridad en Clavei apuntó como razón de eso a que en España los negocios no están obligados a decir que han sufrido un ataque pirata. «Parece que no pasa, hasta que le llega al vecino o a uno mismo. Es una amenaza real y presente», recalcó. De ahí que ambos expertos se encuentren regularmente con que las empresas solo ponen medidas de ciberseguridad cuando han sufrido un incidente grave.

«Lo que tenemos que hacer es ver qué información tenemos y tratarla bien», aconsejó Botella, «buscando medidas de seguridad para protegerla». La abogada resaltó la importancia de que esto «no lo hagamos por miedo, por prevención a la sanción, hay que quitarse la conciencia de que es otra normativa más que aplicar». De ahí que el valor de la información para los legisladores, sea una de las razones por las que desean protegerla, al considerarla un derecho fundamental de las personas.

«La ciberseguridad no es territorio comanche», señaló Botella, «está regulada». El Código Penal establece que hay responsabilidad penal para las empresas, recalcó, y en la reforma del año pasado se dijo que se pueden exonerar de responsabilidad siempre que tengan un procedimiento previo en el que establezca la prevención de delitos.

Y ataques hay muchos. Rodríguez mostró a través de la web de Siemlab unos gráficos a tiempo real en los que se mide ese impacto, la ciberguerra. En ellos se vio que España es uno de los países que más la sufren puesto que se sitúa entre los 15 primeros. «Ahora legalmente debemos de tener esa protección demostrada para que si falla hay que decir qué medidas tomamos», subrayó el especialista.

Ejemplos de casos a evitar son las copias hechas con un lápiz USB que el técnico se lleva a casa, la facilidad para que cualquier empleado pueda acceder a datos relevantes, o que no se comprueben si los datos aún son válidos. Rodríguez realizó una comparación muy gráfica respecto a la falta de conciencia en seguridad en el ciberespacio: si tenemos en el edificio guardias y cámaras y luego en internet todo se confía a un proveedor externo tradicional que nos da un aparato de 40 euros, «eso no es tener medidas de seguridad, vivimos en el filo de la navaja».

Frente a los múltiples ataques hay que plantear una estrategia de respuesta, destacaron ambos. Y algo tan sencillo como una auditoría de seguridad que delimite las vulnerabilidades y el establecimiento de un plan actualizable son dos de las opciones más adecuadas. «Debemos dejar de ser bomberos, no nos pueden llamar solo tras el incendio», remachó Botella, «el 85% de las empresas se dan cuenta del problema cuando ya lo tienen». Por eso ambos reiteraron la necesidad de abandonar la idea de que estamos en un estado de seguridad permanente porque es irreal. A través del Compliance Control, continuó la especialista, se inicia un proceso para verificar la aplicación de la ley y resolver las dudas sobre esta.

Rodríguez enfatizó la necesidad de analizar nuestros activos y las medidas, mediante un plan director de seguridad, «cualquier análisis solo vale para un día porque hay cambios y nuevas amenazas constantemente que hay que vigilar». Este plan reflejaría que nos preocupamos por cumplir la normativa y que se cuenta con la persona adecuada que se encarga de su cumplimiento.

Hay margen para su aplicación, recordó Botella, el nuevo reglamento aprobado en mayo da un plazo de dos años para aplicarse. Lo que no significa que se pueda retrasar su ajuste, «en este tiempo nos tenemos que preparar para la aplicación, hay que convivir entre aplicar lo que viene y la LOPD». No hacerlo puede acarrear problemas graves, como detalló, con sanciones que en la actualidad pueden llegar hasta los 600.000 euros y que en el futuro alcanzarán los 20 millones o el 2% de la facturación global mundial.

Son cifras por las que hay que estar atento. «Hay que cambiar el chip y establecer esas medidas, desde el principio», aconsejó Botella, «no hay que empezar y luego llamar al abogado». Con una sencilla pregunta, «¿Se compraría un barco sin salvavidas?», resaltó Rodríguez la necesidad de la aplicación de estas medidas.

Diario El Mundo

Close Comments

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *