En un mundo plenamente interconectado, las ciberamenazas son cada vez más frecuentes y, como consecuencia, las empresas se encuentran frecuentemente expuestas. Un reciente informe de Cisco SMB Cybersecurity ha revelado que más de la mitad de las PYMES han sido víctimas de ciberataques en 2019. Estos ataques, que pueden ser externos o internos, han sido perpetrados en su mayoría por insiders, ya sea de forma maliciosa o inadvertida. Por tanto, una cuestión fundamental para la empresa consiste en saber cómo hacer frente a estos ataques que tienen lugar en el entorno online.
La ciberseguridad implica a todos los actores de la empresa
Las ciberamenazas son, según el Consejo de Seguridad Nacional, «todas aquellas disrupciones o manipulaciones maliciosas que afectan a elementos tecnológicos. […] Se caracterizan por su diversidad, tanto en lo que concierne a capacidades como a motivaciones”.
Precisamente, con el fin de hacer frente a estos ciberataques, las empresas recurren a la ciberseguridad. La amenaza puede derivarse de una simple torpeza o de la mala intención de un determinado empleado. Así, un caso recurrente de negligencia es el protagonizado por un empleado que deja a la vista de todos sus identificadores y contraseñas de acceso. El robo de un ordenador o un teléfono móvil también supone una ciberamenaza muy frecuente y peligrosa, ya que resultaría posible acceder al sistema de mensajería profesional del empleado. Además, la práctica de BYOD (Bring Your Own Device) también multiplica este riesgo.
No obstante, la mayoría de estas amenazas internas no son maliciosas y son consecuencia de errores humanos que podrían evitarse en gran medida mediante una concienciación constante y el empleo de herramientas adaptadas. Los «verdaderos ciberdelincuentes» utilizan técnicas cada vez más sofisticadas, por lo que es importante que los presupuestos asignados por la empresa a la seguridad informática sean sustanciales.
La necesidad de establecer una verdadera política de seguridad de los sistemas de información
Todas las empresas, cualquiera que sea su tamaño y área de especialización, son objetivo de ciberataques, por lo que resulta necesario desplegar una política de seguridad de los sistemas de información, tanto a nivel técnico como humano. Esto implica tener en cuenta todos los riesgos, ya sean endógenos o exógenos, mediante la realización de auditorías de vulnerabilidad y pruebas de intrusión en los sistemas de información.
También se pueden añadir cláusulas específicas a los contratos de trabajo de los empleados, como cláusulas de confidencialidad, de propiedad intelectual o de no competencia, a fin de sensibilizar a los propios trabajadores sobre la protección de los datos y la información confidencial. Además, se recomienda un conocimiento general de los principales textos jurídicos relativos a los datos personales, el contenido ilegal, los medios de control aplicados y las sanciones.
La ciberseguridad debe, por tanto, ir más allá de la tecnología. Los equipos de TI deben dedicar tiempo y recursos para capacitar a sus empleados en las mejores prácticas. Por ejemplo, haciendo que los empleados entiendan la importancia de sus contraseñas, que deben ser complejas, únicas y secretas.
Para mayor seguridad, además, es esencial prever un dispositivo de bloqueo o de supresión de la información contenida en los terminales móviles en caso de pérdida o robo. Y si la empresa practica el BYOD, es indispensable proporcionar información sobre los riesgos y el acceso a las cuentas en las redes Wi-fi.
Así pues, es importante integrar la ciberseguridad en la descripción del puesto de trabajo, así como adoptar una carta informática adaptada a las tecnologías, prácticas y riesgos de la empresa.
De este modo, la empresa puede generar una carta de utilización de recursos informáticos y herramientas digitales. Se trata de un documento de alcance jurídico precedido de un análisis de riesgo. El documento tiene como finalidad informar al empleado sobre los usos permitidos de los recursos informáticos, las normas de seguridad, las medidas de control y las sanciones.
Si tú también deseas convertirte en un abogado especializado en el ámbito de la ciberseguridad, el Máster en Derecho Digital, Innovación y Tecnologías Emergentes del ICAM es tu oportunidad.
El proceso de selección para la próxima edición ya está abierto. ¡Infórmate y reserva tu plaza!
