Ciberseguridad, Protección de Datos y Cumplimiento Normativo

Ciberseguridad, Protección de Datos y Cumplimiento Normativo

En nuestra última sesión del Aula Gabeiras centrada en el área de Derechos Fundamentales y Sociedad Digital, discutimos temas en torno a la evolución de la ciberseguridad y los diversos riesgos y estrategias que caben asumir con su avance. Esta situación da pie a un debate necesario acerca de las medidas y los límites que existen en el comportamiento dentro de la sociedad digital y sobre cómo las empresas pueden interpretar estas variaciones desde la óptica legal y del cumplimiento normativo.

Para ello invitamos al experto Agustín Muñoz-Grandes, CEO de la empresa de S21secy, empresa pionera del sector de la ciberseguridad en España y a día de hoy una de las cinco mayores empresas especialistas en este campo a nivel europeo. Agustín inició la ponencia explicando cuáles son los principales riesgos actuales en torno a la ciberseguridad y cuáles podrían considerarse buenas prácticas para la gestión de los mismos. Con una buena dosis de humor explicó cómo la ciberseguridad, en algunos casos, se sigue concibiendo aún desde una perspectiva cinematográfica, como en aquellas películas que desde los años ochenta se han dedicado a representar la evolución de estereotipos inspirados en actividades propias como el “hacking” o los “cyberattacks”. Afirmaba que, aunque parezcan representaciones imaginarias, estamos hablando de organizaciones y empresas bien financiadas con diferentes recursos y departamentos donde se utiliza tecnología sofisticada para maximizar sus beneficios.

Atendiendo a la transformación digital, nos enfrentamos a nuevas formas de trabajar y de enfrentar los riesgos desde las plataformas digitales. La tecnología ha cambiado todo; actualmente hay empresas que prestan servicios 100% virtuales como Netflix, AirBnB, zoom, etc. El proceso de digitalización también se ha visto acelerado por la pandemia del COVID-19, tras la cual se han aumentado el número y la velocidad de transacciones y operaciones de compra-venta en internet. Del mismo modo, se ha multiplicado, exponencialmente, el número de personas que teletrabajan, cambiando así sus necesidades a nivel remoto. Por este motivo, surgen muchas interrogantes acerca de cómo podemos tomar medidas de protección frente a estas nuevas dinámicas de interacción en un entorno no tan seguro como se pensaba hace años.

Resulta especialmente importante realizar un ejercicio de autoanálisis acerca del tipo de interacciones en las que participamos a nivel digital, siendo conscientes de los riesgos, pero también de cómo los recursos tecnológicos nos han ayudado y facilitado medios a la hora de crear nuevos modelos de negocio. Como constata Agustín: “una forma de entender la ciberseguridad es ubicando en el centro los activos, personas, finanzas y datos que forman una empresa. Su motivo de ser es la transformación digital al cambiar dichos modelos de negocios y adoptar nuevas maneras para poder elaborar e interpretar un mapa de riesgos de la empresa para valorarlos”. 

Un ataque grave a la seguridad, o incluso un fake news, a una empresa cotizada y que maneje millones de datos de sus clientes tienen un alto impacto en su reputación e incluso puede acarrear una caída súbita e irrecuperable en bolsa.

Ante este panorama, se resalta la importancia que tiene que las empresas inviertan en las áreas menos desarrolladas, pero que tienen un alto impacto en el cumplimiento normativo, garantizando así la continuidad del modelo de negocio de la empresa. De cara a los ciberataques, esta serie de procedimientos comprenden el modelo “business focused cybersecurity”, como forma de entender la ciberseguridad de forma exógena para estudiar los modelos de negocio respecto a las regulaciones que afectan al plan de gestión y respuesta a incidentes. 

¿Es la transformación digital un bien necesario para poder consolidar la ciberseguridad como elemento de las estrategias públicas y privadas de la empresa?

Agustín Muñoz considera que, respecto al modelo de gestión de ciberseguridad hay buenas prácticas en las que es conveniente invertir para hacer frente a cualquier ataque que pueda producirse en el futuro de la empresa. Algunas formas de inversión son: prevenir y evitar posibles incidentes, sistemas de backup y continuidad de negocio, capacidad de detectar y responder a posibles ataques o incidentes y la posibilidad de subcontratar la ciberseguridad a expertos.

Una vez finalizada la ponencia, Susana de la Sierra procedió a extender el debate al resto de participantes para abordar varios “check-points” puestos de relieve durante la intervención: entre otros, ¿qué departamento dirige la inversión en ciberseguridad en las empresas? ¿Cuál es el principal punto de entrada de los ciber-ataques en la actualidad? ¿Qué factores tienen más importancia en el lanzamiento de un nuevo producto o servicio “digital”? ¿Qué se considera como la “mejor práctica de ciberseguridad?

A continuación, se resumen algunos de los aportes más relevantes por parte de los asistentes:

  • Es fundamental invertir en la formación y concienciación en ciberseguridad de los empleados de una empresa para fomentar las buenas prácticas y erradicar los malos hábitos en torno a la higiene cibernética.
  • Es cada vez más necesario tener presente la ciberseguridad durante la fase del diseño en los modelos de negocio. Se debe integrar el concepto “cybersecurity by design” para crear experiencias más favorables y eficientes en coste.
  • Según el último Informe de Ciberciminalidad, sólo se esclarece el 14% de los ciberdelitos cometidos y denunciados en España y sólo se llega a detener al 4% de los autores y a ponerles a disposición judicial; sin embargo, de este porcentaje de ciberdelitos conocidos sólo se condena al 0,8%, por lo que existe una impunidad de más del 99% de los ciberdelitos en España.
  • Cada vez hay un mayor número de organizaciones, como en Reino Unido y Estados Unidos, que empiezan a dotarse a sí mismas y a sus gobiernos de leyes y herramientas que les permitan intervenir en el extranjero en defensa de los intereses nacionales dentro de un contexto y marco regulatorio que les permita perseguir y condenar estos ataques en ciberdefensa.
  • Tradicionalmente, el desequilibrio entre las capacidades del sector público y el sector privado con respecto a la brecha en ciberseguridad se remite a las leyes estatales capaces de activar los recursos económicos necesarios y un hábito de subcontratación mucho más notable por parte de las entidades públicas.
  • Es necesario invertir en programas de educación y formación en torno a la gestión de riesgos para empleados en empresas que corren un riesgo y trabajan en la ciberseguridad o temáticas relacionadas con ella.
  • La territorialidad del ciberespacio, a escala global y local, sigue siendo un obstáculo a la hora de establecer un contrato social “cibernético” entre sus usuarios y poder designar responsables que no atiendan a la regulación establecida.
  • Respecto a la colaboración institucional público-privada en el ámbito de la defensa en el ciberespacio, se propone la articulación de un tipo de fondo que permita emprender acciones legales que refuercen su ciberseguridad.
  • Frente a los ciberataques, se recomienda no efectuar los pagos “rescate” que se demandan por ser contraproducentes, ya que no existe ninguna regulación o “contrato social” que proteja los derechos del consumidor en la red.