Actualmente, la implementación de medidas de seguridad digital se debe a que hay más dispositivos conectados que personas, y los atacantes son cada vez más creativos.
Esto en la práctica supone defender los dispositivos, las redes y especialmente la información contenida de modo digital de cualquier ataque malicioso. Pero, ¿Qué tipo de ataques? y ¿Qué amenazas supone esto? La verdad es que existen infinidad de amenazas en este entorno, la información se comunica rápidamente y puede reproducirse de igual manera en el entorno. Muchos buscarán secretos de la competencia (espionaje corporativo), datos personales para extorsión, robos de activos financieros, chantaje, bloqueo de los sistemas, suplantación de identidad, destrucción de información, entre otros.
En la ciberseguridad existen capas de protección repartidas en los ordenadores, redes, programas o datos que uno pretende mantener a salvo. En una organización, las personas, los procesos y la tecnología deben complementarse para crear una defensa eficaz contra los ciberataques
¿Cómo puede una empresa evitar ataques cibernéticos?
Tener implementada una correcta política de seguridad es el primer paso para evitar posibles ataques contra la seguridad informática. Por ello, es importante realizar una evaluación del riesgo y estudiar la seguridad de la información, de manera que no obstruya el desarrollo de las actividades. Algunos puntos a realizar serían:
Elaborar reglas y procedimientos para cada servicio de la organización. Definir las acciones a realizar y elegir las personas con las contactar en caso de detectar una posible intrusión o ataque. Sensibilizar y educar a los trabajadores en materia de la seguridad informática y las consecuencias de no adoptar medidas para ello. Además, los derechos de acceso a la información deben estar bien definidos y documentados, «quién tiene y a qué tiene acceso».
Medidas de seguridad para garantizar la privacidad y la ciberseguridad
Cualquier organización o entidad, cualquier persona, debe usar herramientas de ciberseguridad y privacidad que aseguren y garanticen tanto una como la otra.
Por un lado, se deben adoptar medidas de ciberseguridad adecuadas y robustas, como son las soluciones de seguridad de las que ya hemos hablado en este blog; antivirus, firewall, sistemas de seguridad endpoint, SOC, DLP, sistemas de detección de intrusiones actualización de software, hardware y firmware, elaboración de protocolos de ciberseguridad, uso de VPN para el trabajo remoto, control de acceso basado en roles, etc.
Y, por otro lado, se deben cumplir con las obligaciones establecidas en la normativa de protección de datos, adoptando medidas de seguridad que garanticen la privacidad desde el diseño y por defecto, es decir, que antes de realizar ningún tratamiento de datos personales, debemos tener ya implementadas las medidas de seguridad técnica y organizativas que minimizarán las posibilidades de una brecha de seguridad o de una filtración de esos datos o de un mal uso de los mismos.
Medidas como acceso limitado a los datos personales que maneja la entidad, minimización en los datos recabados, establecimiento de plazos de supresión de datos, protocolo de protección de datos, acuerdos de confidencialidad, etc.
En definitiva, ciberseguridad y privacidad siempre deben ir de la mano, porque no puede entenderse una sin la otra y viceversa; las medidas de ciberseguridad deben proteger la privacidad, pero a su vez, la protección de la privacidad debe reforzar la ciberseguridad.
Cuando se vulnera la protección de datos se pone en riesgo la ciberseguridad
El objetivo principal de la protección de datos es garantizar que no se vulneran derechos y libertades fundamentales de los ciudadanos, que se garantiza su derecho a la privacidad y a la intimidad, que su información personal no se convierte en una moneda de cambio sobre la que no tengan ningún control.
Pero, proteger esos datos personales, también puede perseguir (y debe hacerlo) otro objetivo, el de garantizar la ciberseguridad de organizaciones e individuos e, incluso, de la propia sociedad (no podemos olvidar que un ciberataque a una estructura o servicio crítico, puede tener graves consecuencias para la población).
Cuando las organizaciones vulneran la protección de datos, cuando no cumplen con las obligaciones que leyes como el RGPD y la LOPDGDD contemplan, ponen en riesgo también la ciberseguridad
La relación entre brecha de seguridad y protección de datos es clara y a través de las medidas para garantizar la segunda, se pueden evitar las peores consecuencias de la primera, consecuencias que pueden tomar la forma de los siguientes riesgos para usuarios y organizaciones.
A. Riesgos para los usuarios
Cuando se vulnera la protección de datos, los usuarios pueden enfrentar diferentes riesgos, como, por ejemplo:
- Sufrir más ataques de phishing, vishing o smishing
- Sufrir suplantación de identidad
- Perder el control de sus cuentas de usuario
- Estar expuestos a estafas y fraudes digitales
- Sufrir pérdidas económicas (bien por ser víctimas de robos a través de sus apps de banca o por ser víctimas de estafas)
- Sufrir posibles discriminaciones
- Sufrir extorsión o chantajes a cambio de no publicar información personal
B. Riesgos para las organizaciones
En cuanto a las organizaciones, el principal riesgo que enfrentan derivado de la vulneración de la protección de datos, son ciberataques dirigidos a puestos directivos y responsables de departamento, así como a empleados de niveles inferiores, que, como decíamos más arriba, a través de ataques de ingeniería social dirigidos a ellos, pueden convertirse en el punto de entrada de cibercriminales a la red interna de la organización.
Una vez ganado acceso a esa red interna, los cibercriminales podrán perseguir sus objetivos finales, que pueden ir desde un ataque de ransomware, un chantaje para evitar la exfiltración de información confidencial, el robo de esa información para venderla al mejor postor, hasta llevar a cabo un robo de dinero, por citar algunos de ellos.
Una organización puede tener implementadas las soluciones de ciberseguridad más robustas y proteger los datos de todos sus empleados, pero eso no evitará que parte de la información personal de esos mismos empleados esté en manos de otra empresa, cuyas medidas sean menos seguras o no sea tan celosa de la seguridad y de cumplir sus obligaciones en materia de protección de datos.
¿Qué debo hacer si mi empresa ha recibido un ataque?
En caso de un ciberataque, la persona que perciba el posible incidente, deberá remitirse a la política de seguridad y seguir el proceso indicado allí, y, en consecuencia, contactarse con el personal técnico encargado de la ciberseguridad. Además, de estar comprometidos datos de carácter personal, ya sea de externos o de personal interno de la organización, la misma deberá acudir ante el ente de control respectivo (AEPD para España) y dar notificación de la incidencia, y, si es posible notificar a los posibles afectados. Es necesario también que tome las medidas necesarias para minimizar el impacto y el daño a la marca. En caso de no contar con medidas de ciberseguridad, contacte inmediatamente con un organismo de control y con un experto, con el fin de mitigar los daños.
Debe tener presente, que la empresa responsable que realice la notificación del incidente, deberá hacerlo con un plazo máximo de las 72 horas siguientes en las que tenga constancia del mismo. La notificación ha de incluir un contenido mínimo:
- la naturaleza de la violación
- categorías de datos y de interesados afectados
- medidas adoptadas por el responsable para solventar la quiebra
- si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados. Además, los responsables deben documentar las quiebras de seguridad sufridas.
¿Por qué es necesario notificar un incidente?
Por más robusta y segura que consideremos nuestra organización en materia de seguridad informática, ninguna está exenta de ser presa de un ciberataque. Es imposible garantizar al 100% que un ciberataque no acabe por afectar a la organización. Un protocolo eficiente sobre ciberseguridad y una capacidad de respuesta rápida limitará el posible coste del incidente, y evitará fugas indeseadas de información. Una medida para que esta respuesta sea eficiente, es notificar de manera rápida el incidente, para recibir apoyo y asesoría por parte expertos.
Notificar el incidente no solo permitirá una respuesta más eficiente sobre el ataque, sino que permitirá aprender de éste para evitar futuros ataques. Además, las personas que puedan verse perjudicadas, tienen derecho a estar al tanto de la situación y conocer las medidas tomadas para salvaguardar su integridad. No olvidemos que, al ser una obligación, no reportarlo conlleva a posibles multas, tal y como mencionamos anteriormente.
Por último, la ciberseguridad y la privacidad siempre deben ir de la mano, porque no puede entenderse la una sin la otra y viceversa: las medidas de ciberseguridad deben proteger la privacidad, pero a su vez, la protección de la privacidad debe reforzar la ciberseguridad.