5 de febrero de 2020

¡Atacaron mi ordenador! ¿Y ahora qué hago?


Autora: María Isabel Carmona González
Abogada especializada en Derecho Digital
Miembro de la Sección de Derecho digital e innovación y Gestión de despachos.



A día de hoy, expresiones como ciberataque, ramsomware o brecha de seguridad que para la mayoría de nosotros eran conceptos exóticos pertenecientes a un universo friki alejado de nuestra actividad profesional se han convertido desgraciadamente en una realidad bien tangible. Las posibilidades de sufrir una incidencia de este tipo han aumentado de tal forma que la pregunta a plantearnos ya no es ¿podré sufrir un ataque? sino ¿cuándo lo voy a sufrir?

Por ello, la implantación de una política de ciberseguridad se ha convertido en un elemento esencial en la configuración de nuestro despacho, por muy pequeño que este sea, debido a las gravísimas consecuencias que pueden conllevar incidencias de este tipo: desde daños reputacionales o pérdidas económicas hasta la asunción de responsabilidades legales derivadas de los eventuales daños que se ocasionen a terceros.

En esta entrada vamos a hablar de:
1. Política de ciberseguridad
2. Ciberseguros
3. Contenido del ciberseguro

1. La Política de Ciberseguridad: Prevenir y reaccionar.

Con independencia del tamaño que tenga nuestro despacho, la política de ciberseguridad que diseñemos para el mismo debería comprender tanto elementos preventivos como de reacción por si finalmente se produce un incidente.

Para empezar, es imprescindible llevar a cabo un análisis en profundidad de los riesgos específicos a los que puede verse expuesta nuestra organización lo que, junto con el inventario de los recursos de que disponemos, nos ayudará a determinar nuestras vulnerabilidades y necesidades en este ámbito.

Como elementos de carácter preventivo que debería contener nuestra política de ciberseguridad podemos destacar:

- La implantación de medidas técnicas y organizativas de seguridad tanto en los sistemas como en los procedimientos habituales del despacho (relativos a la confidencialidad de la información, cumplimiento normativo, control de autorizaciones y accesos a los recursos, sistemas actualizados, antivirus, cortafuegos, designación de CISO o DPD, etc).

- Concienciar y formar en esta materia a trabajadores y colaboradores.

- Establecer códigos de conducta, adaptación a normas ISO/ENS o la contratación de ciberseguros.

Si pese a las precauciones adoptadas somos objeto de un ciberataque es preciso que tengamos asimismo preparadas una serie de medidas para poder reaccionar de inmediato y minimizar los posibles daños, sin tener que improvisar en el fragor del momento. Entre ellas se incluirían:

- Protocolo de actuación ante la incidencia, identificando medidas a adoptar y los responsables de hacerlo.

- Procedimiento para contactar con INCIBE-CERT.

- Mecanismos de gestión de la eventual responsabilidad con terceros (cláusulas contractuales, seguros, etc)

- Protocolo de notificación de brechas de seguridad, en su caso.

2. Ciberseguros

Entre las medidas expuestas vamos a detenernos en una que pese a las posibilidades que ofrece hasta ahora no ha desempeñado un gran papel en su implementación como medida de ciberseguridad: la contratación de un ciberseguro que nos proteja frente a brechas de seguridad o riesgos derivados de ciberataques o intrusiones de terceros en nuestros sistemas.

En el mercado existen actualmente diferentes tipos de productos entre los que podemos encontrar el que mejor se adapte a nuestra situación específica. Pero, previamente, deberemos acudir al análisis de riesgos que hayamos realizado que será el que determinará el nivel y la categoría de riesgos a los que estamos sometidos y las coberturas que necesitaremos. Una vez claras nuestras necesidades concretas se nos plantean diversas cuestiones:

- ¿Es obligatorio contar con uno?

Actualmente la respuesta es no. Sin embargo, está empezando a debatirse la conveniencia de que en el futuro la regulación de determinados sectores, especialmente sensibles, pueda empezar a exigirlos.

- Vale, no es obligatorio pero ¿es conveniente?

Depende de los supuestos concretos y aquí volvemos de nuevo a la importancia de nuestro análisis de riesgos. No debemos perder de vista que en los últimos tiempos se está asentando en nuestro sistema la cultura del compliance , hasta ahora más propia del entorno jurídico anglosajón. De manera simplificada, bajo este prisma los operadores deben analizar e identificar los riesgos a los que puede verse sometida su actividad y en consecuencia adoptar las medidas que sean necesarias para prevenir y mitigar dichos riesgos. Dichas medidas podrían no venir establecidas en un catálogo de obligado cumplimiento sino que serán elegidas de manera justificada por el responsable por estimar que son las más adecuadas para lograr el objetivo perseguido. Como ejemplos de la incorporación de este nuevo enfoque tenemos la nueva regulación de la protección de datos introducida por el Reglamento Europeo de Protección de Datos o la implantación de los sistemas de compliance penal en las empresas.

Así pues, en función del resultado de nuestro análisis de riesgos podremos determinar:

- La naturaleza y entidad de los riesgos y sus probabilidades de materialización.

- Las eventuales responsabilidades que puedan surgir de dicha materialización en función de las obligaciones y el nivel de diligencia que debemos asumir por imperativo legal, como por ejemplo:

o Adopción de medidas de seguridad adecuadas al nivel de riesgo de la actividad y al estado de la técnica (es decir, las más apropiadas a la vista del estado de desarrollo tecnológico del momento).

o Obligación de comunicar brechas de seguridad.

o Necesidad de documentar y demostrar un comportamiento diligente en la adecuación de una actividad a los requisitos legales, etc.

- Los recursos de que dispongamos para hacer frente a las consecuencias de un incidente.

Tras lo cual podremos decidir si sería aconsejable en nuestro caso protegernos mediante la contratación de una póliza de ciberseguro.

3. Contenido del ciberseguro

Si la conclusión obtenida es que en nuestro caso sería conveniente contratar una póliza de este tipo la siguiente cuestión sería ver cuál debería ser su contenido. Como en cualquier otro seguro es preciso analizar el alcance que vaya a tener la cobertura de la póliza en cuanto a los daños cubiertos y los excluidos, los sujetos y las sumas aseguradas o los ámbitos territorial y temporal de la misma. Ahora bien, en este ámbito en concreto es muy importante valorar cuidadosamente los riesgos a los que podremos estar expuestos de manera más probable y las consecuencias que para la actividad de nuestro despacho podría tener su materialización, tanto por los daños derivados directamente de la interrupción de la actividad normal del despacho como el surgimiento de responsabilidad frente a terceros.

A estos efectos podemos señalar una serie de cuestiones específicas que, entre otras, deberíamos tener en cuenta a la hora de valorar las coberturas y exclusiones:

· Posibles riesgos derivados de intrusiones de terceros en nuestros sistemas que causen daños a los mismos o a la confidencialidad o integridad de la información (p. ej. virus, troyanos, malware, botnets, phishing, ransomware, secuestro de información, difusión de información o datos confidenciales, extorsiones y estafas, etc.)

· Responsabilidad surgida por la transmisión de virus o malware por parte de nuestros sistemas que originen daños a terceros.

· Existencia de cobertura en casos de ataques de denegación de servicio, actuaciones dolosas de empleados, supuestos de ciberterrorismo o ciberguerra o vulneraciones de datos almacenados en servidores de terceros o en la nube.

· Daños a la reputación online.

· Cobertura de las eventuales sanciones administrativas que pudieran ser impuestas (p.ej. en materia de protección de datos).

· Daños derivados de la interrupción del negocio o responsabilidad por incumplimiento de obligaciones contractuales (imposibilidad de entregar los pedidos o prestar los servicios concertados).

Por otra parte, la contratación de este tipo de seguros puede comportar, sobre todo en el caso de las pequeñas organizaciones, una ventaja adicional. Y es que puede ayudar a la implementación de otras medidas de seguridad necesarias, pues el mantenimiento de la póliza normalmente exigirá el mantenimiento de medidas de seguridad apropiadas a nuestro nivel de riesgo y de una adecuada diligencia e incluso algunas aseguradoras incluyen en sus
pólizas determinados servicios de prevención de riesgos cibernéticos, lo que puede ser otro elemento a tener en cuenta.

En definitiva, y en función de las necesidades que desvele el análisis de riesgos que debemos hacer de nuestra organización, disponer de una póliza de ciberseguro puede ser una medida muy interesante para completar la política de ciberseguridad de nuestro despacho junto con el resto de medidas técnicas y organizativas que implantemos. De esta forma podremos mantener nuestro nivel de riesgo en un rango aceptable que nos permita concentrarnos en desarrollar nuestra actividad con más tranquilidad.

Si te gustó esta entrada, tal vez te interesará leer:

Foto inicial: pexels