Cuestión de Ciberseguridad
Cualquier empresa, hoy por hoy, en la era digital, es objetivo de un ataque por medios electrónicos, es decir, de un Ciberataque, con lo cual ya debería ser una preocupación de toda organización dotarse de unos medios de protección y unos protocolos orientadores de la actuación en caso de sufrir alguno que afecte a la estructura y/o a la información que maneje, máxime si se trata de información o datos de carácter sensible.
Vamos a tratar de identificar una serie de situaciones que sirvan para señalar – sin ninguna pretensión técnica – los riesgos a los que las empresas nos vemos expuestas y unas medidas preventivas y actuaciones a realizar. Estos riesgos, para recordarlos, los podemos identificar como DIC (como el famoso whisky segoviano): Disponibilidad, Integridad y Confidencialidad
1. Ataques a la disponibilidad de la información de la empresa.
Presumiendo que tenemos implantada la mínima medida de seguridad de tener identificados con usuario y contraseña a los usuarios que pueden acceder a la información de la organización, recibimos o nos encontramos como posible la amenaza tener impedido el acceso a estos usuarios.
Nos encontramos ante una situación en la que el sistema de información de la empresa no permite el acceso a la información y ello bloquea parcial o totalmente nuestra actividad, suponiendo perdidas directas económicas y pérdida de confianza de nuestro entorno.
Podemos identificar dos supuestos:
a) Ataque de denegación de servicio, conocido como DDos: nos bloquean con alguna medida técnica el acceso a la información.
b) Ransomware: nos inyectan un software malicioso que bloquea el acceso a la información mediante cifrado de la información contenida en un servidor o en un equipo.
Soluciones y acciones:
Para el caso de un ataque DDos no nos queda más remedio que ponernos en manos de un equipo técnico que halle la solución al bloqueo.
Para el caso del Ransomware la solución que esta en nuestras manos no es posterior, sino previa al ataque, mediante la prevención y concienciación de todas las personas involucradas en los procedimientos de datos e información en el uso de las herramientas puestas a su disposición y, también, en el uso de dispositivos privados que puedan tener acceso a la información corporativa.
INCIBE – Instituto Nacional de Ciberseguridad cuenta con el Servicio Antirasomware a donde es altamente recomendable acudir para solicitar apoyo en la resolución de la incidencia, además de la denuncia ante las Fuerzas y Cuerpos de seguridad del Estado.
En todo caso es fundamental contar con copias (digo copias no copia) de seguridad de toda la información, con una frecuencia de realización corta que permita recuperar la mayor parte de la información perdida.
En caso de que entre la información afectada se encuentren datos personales, será con alta probabilidad, declarar una incidencia de seguridad ante la Agencia Española de Protección de Datos – AEPD.
2. Ataque a la integridad de la información de la empresa.
Nos encontramos ante la amenaza de manipulación o alteración de la información de la empresa en cualquier sentido que imaginemos, desde la firma de documentos, hasta el contenido de los mismos, du desaparición o inaccesibilidad parcial.
Soluciones y acciones:
Igualmente, las medidas que debemos tomar son de carácter preventivo, como es el cifrado de la información, el cifrado de las comunicaciones, el uso de conexiones VPN para acceder a la información desde fuera de las instalaciones de la empresa
3. Ataque a la confidencialidad de la información de la empresa.
Señalábamos la necesidad de contar como mínima medida de seguridad la identificación con usuario y contraseña de las personas que pueden acceder a la información, además de ello, su perfil de acceso debe ser acorde con sus atribuciones y funciones en la organización. La amenaza a la confidencialidad consiste en el acceso y/o disposición ilegítima de información de la empresa por terceros ajenos, aprovechando la inyección de un virus de tipo ·troyano” o aprovechando brechas de seguridad de los sistemas de información (puertos abiertos, interceptación de comunicaciones, credenciales débiles, …
También puede entrar en estos supuestos de deslealtad de empleados, cuando estos, consciente o inconscientemente facilitar información confidencial a través de Internet y redes sociales, o bien, cuando existen casos de falta de suficiente diligencia en la custodia de soportes y estos, además, no disponen de medidas de seguridad suficientes que impidan su acceso no autorizado.
Soluciones y acciones:
Cualquier solución pasa por la prevención y el establecimiento de medidas organizativas de seguridad que minoren el riesgo y dificulten la intrusión de extraños en los sistemas de información, la segmentación de los niveles de acceso a la información en función de los roles y perfiles.
Será altamente recomendable establecer protocolos de verificación y auditoría que verifiquen las medidas de seguridad y organizativas establecidas.
Igualmente, en materia e protección de datos personales, la existencia de una fuga de información implica la comunicación a al Agencia Española de Protección de Datos de la violación de seguridad producida, el alcance y consecuencias, así como, las medidas tomadas para minorar sus efectos sobre los interesados afectados.
David García
Abogado – asesor de Empresas
Socio-Director Soluteca