El creciente número de ciberataques supone una gran amenaza para las empresas, especialmente para los negocios digitales y las tiendas online que se enfrentan a importantes pérdidas económicas, de reputación y de confianza por parte de los consumidores.
Para luchar contra estas amenazas y proteger el desarrollo digital de la Eurozona, la Unión Europea ha reforzado las medidas de prevención, coordinación y respuesta a través de la conocida como
Directiva NIS, establecida para:
- Configurar estrategias nacionales de lucha contra ciberataques;
- Crear un grupo de cooperación entre diferentes estados que facilite la solución de problemas de seguridad transfronterizos;
- Establecer criterios comunes de actuación, notificación y resolución de incidencias;
- Designar a las autoridades competentes que se encargarán de coordinar, como punto de comunicación único, las acciones necesarias en cada país;
Su aplicación práctica en España se ha establecido a través del
Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información por el que se traspone la normativa europea. Entre los puntos más importantes del texto se incluye la obligación para operadores de Servicios Esenciales (empresas que ofrecen servicios básicos para la sociedad como los bancarios, de sanidad o los relacionados con telecomunicaciones) y de Servicios Digitales de notificar las incidencias y problemas de seguridad que registren.
Dentro de esta fase de comunicación, se distinguen dos tipos de avisos: los que deben realizarse a las autoridades nacionales competentes (“
CSIRT”) por las implicaciones económicas y sociales que tengan los ataques y, por otro lado, las que se dirigen a los usuarios afectados tras valorar la gravedad de la incidencia, la tipología de datos vulnerados, las ubicaciones geográficas a las que se extiende y su duración.
Junto a este deber de transparencia, las empresas tendrán que llevar a cabo todas las medidas necesarias para solucionar los problemas detectados y prevenir los que pudieran surgir en el futuro. Teniendo en cuenta que cualquier entidad, independientemente de su tamaño o tipo de negocio debe estar preparada para solventar este tipo de situaciones, la
Agencia Española de Protección de Datos ha elaborado una
Guía para la gestión y notificación de Brechas de Seguridad en la que se facilitan indicaciones sobre las diferentes fases que se deben tener en cuenta:
1) Análisis: recoger toda la información necesaria para identificar internamente cómo se ha producido el incidente;
2) Clasificación: profundizar en todos los datos y detalles para valorar la gravedad de la situación y la repercusión que puede tener para los usuarios afectados;
3) Contención y solución: establecer un conjunto de acciones que permitan resolver el problema, ya sea a través del restablecimiento del servicio o la recuperación de los datos sustraídos o alterados;
4) Documentación y elaboración de un informe final: elaborar un análisis que recoja todos los pasos que se han llevado a cabo hasta solventar la incidencia y en el que también se establezcan protocolos de actuación;
- Elaborar una política de seguridad que permita planificar las respuestas ante ciberataques, estableciendo normas y procedimientos a seguir;
- Establecer controles de acceso a la información, asegurando que únicamente pueda ser consultada por las personas que la necesitan para el desempeño de sus funciones;
- Realizar copias de seguridad periódicamente para garantizar la recuperación de datos clave a pesar de sufrir alteraciones o pérdidas;
- Reforzar la seguridad de los equipos con antivirus y generación de usuarios y contraseñas seguras;
- Actualizar los programas y aplicaciones de los equipos de trabajo para disponer de las últimas versiones, especialmente en plataformas de contenido de páginas web y sistemas operativos;
- Controlar el acceso externo a la red propia, especialmente a través del uso de materiales de almacenamiento extraibles;
- Garantizar la seguridad del acceso a información desde redes y dispositivos fuera del entorno de trabajo, poniendo especial atención a la fiabilidad de las redes desde las que se accede, las credenciales que se otorgan para otorgar dicho acceso, además de disponer de un plan de respuesta ante la posible pérdida de dispositivos;
- Elegir soportes adecuados para almacenar y compartir información;
- Registrar la actividad de los sistemas de información con el objetivo de establecer controles de inicios de sesión y accesos a aplicaciones que permitan una rápida identificación ante posibles ciberataques;
- Definir un plan de acción con tareas de reactivación de servicios para asegurar la continuidad de los servicios y actividad de la empresa;