Ciberseguridad.
Qué es y cómo afecta a las empresas
¿Qué es la Ciberseguridad?
Debemos ser conscientes de que actualmente, los servicios de la red dependen de la información y datos personales aportados por los usuarios. La seguridad y la privacidad, por tanto, son bienes a proteger ante los crecientes ciberataques, y para ello, tanto la Agencia Española de Protección de Datos (AEPD) como el Instituto Nacional de Ciberseguridad (INCIBE), trabajan para promover un uso responsable de internet.
Preguntas frecuentes sobre Ciberseguridad
El Phishing es el fraude por el cual los ciberdelincuentes se valen de la ingeniería social para robar datos personales y bancarios. De esta manera, captan nuestra atención, por ejemplo a través de un email, SMS, red social… para después redirigirnos a una página web fraudulenta
¿Cómo evitarlo? el informe “Privacidad y seguridad en internet” de la AEPD y el INCIBE recomienda algunos “trucos”:
- Ser precavido ante los correos que aparentan ser de entidades bancarias u otros servicios.
- No fiarse de mensajes con errores gramaticales, ni de entidades anónimas.
- No tomes decisiones precipitadas, y si el mensaje te obliga a ello, desconfía.
- Revisa que el texto del enlace coincide con la dirección a la que se dirige.
- Revisa que los dominios son los originales de la compañía.
El Ransomware es un ciberataque, una extorsión que llevan a cabo los ciber delincuentes introduciendo un malware en cualquier equipo de la empresa (móviles, portátiles, ordenadores, tablets…). Así, consiguen secuestrar información cifrándola e impidiendo a la empresa acceder a ella, y piden un rescate por su revolución que suele ser en bitcoins. Si os interesa profundizar en el tema, el INCIBE tiene una guía para ello: Ransomware: una guía de aproximación para el empresario.
La empresa Twitter sufrió el 15 de julio un ciberataque sin precedentes. Se estima que alrededor de 130 cuentas verificadas fueron hackeadas, entre estas la del ex presidente Obama, Bill Gates, el rapero Kanye West, el director ejecutivo de Amazon Jeff Bezos…
El ataque consistió en publicar tweets desde las cuentas afectadas, instando a los usuarios a hacer pagos en bitcoins, prometiéndoles el doble de dinero de vuelta. De esta forma, se estima que consiguieron recaudar unos 100.000 dólares en bitcoins. Antes de que el incidente fuese a más, twitter bloqueó las cuentas verificadas. El FBI y la empresa Twitter están investigando el incidente para encontrar a los responsables.
Si tu empresa ha sido víctima de algún ataque cibernético, lo primero que debes saber es que puede que la responsabilidad no sea 100% tuya, aunque es posible que acabes sufriendo algunas de las consecuencias como la pérdida de reputación que difícilmente se puede subsanar. Por ello conviene actuar rápido y contactar con un profesional cuanto antes.
En este sentido, es importante saber que el principio de responsabilidad activa de la LOPD supone que “el encargado del tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento” tal y como establece el artículo 33 LOPD. Es decir, si el ataque se ha producido por “culpa” por ejemplo, de una empresa de hosting, que es el encargado del tratamiento, puede que tenga que responder de daños y perjuicios.
Tan pronto como el DPO detecte una vulneración relevante en materia de protección de datos, debe documentarlo y comunicarlo a los órganos de administración y dirección del responsable o encargado del tratamiento. Cabe destacar que éstos no podrán oponerse al acceso del DPO a los datos personales y procesos de tratamiento aun cuando exista cualquier deber de confidencialidad o secreto. Asimismo, cuando el DPO sea una persona física integrada en la organización del responsable o encargado del tratamiento, no podrá ser removido ni sancionado por desempeñar sus funciones salvo que incurra en dolo o negligencia grave en su ejercicio.
Se debe garantizar su independencia dentro de la organización evitando cualquier conflicto de intereses y se le reconoce el derecho de emitir recomendaciones en el ámbito de sus competencias.
Además, el adecuado tratamiento de datos no solo se limita a cumplir con los fines para los cuales se ceden, sino que también deberás estar atento como empresario o institución a prevenir ciberataques. ¿Y cómo se hace esto? Pues bien, el mencionado informe “Privacidad y seguridad en internet” nos otorga las siguientes pautas respecto al uso de dispositivos (estas recomendaciones también se aplican al uso particular de móviles, tablets…:
- Utilizar métodos de bloqueo de pantalla (ya sea con número o un patrón) y cifra la información.
- Actualmente existen herramientas como “buscar mi iphone” que permiten localizar, eliminar o bloquear información de los dispositivos perdidos o sustraídos.
- Descarga sólo aplicaciones seguras a través de tiendas oficiales, e intenta echar un vistazo de los comentarios de los usuarios.
- Realiza copias de seguridad.
- Instala un antivirus eficaz.
- Cuidado con las redes wifi públicas, y en caso de usarlas procura no conectarte a la banca online o realizar compras.
- Además, procura establecer contraseñas seguras: al menos 8 caracteres con mayúsculas, minúsculas, números y caracteres especiales, sin repetirla en distintos servicios y no la compartas. Además, se recomienda cambiar de contraseña periódicamente.
- Añade un código además del usuario y contraseña (lo que se conoce como la doble autenticación). Un ejemplo de ello es que periódicamente nos envíen un código a otro dispositivo.
- Comprueba que la página web cumple con la normativa sobre protección de datos (RGPD) a la hora de ceder tus datos, o al menos comprueba si muestra la finalidad del tratamiento de datos, el tratamiento que le darán, cómo ejercitar tus derechos, si se va a realizar un perfil con los datos cedidos y el tiempo que los van a conservar.
El Derecho al olvido en internet es una de las novedades del citado Reglamento, por el cual todos los sitios web deben facilitar que el usuario pueda eliminar, consultar, o rectificar los datos personales facilitados.
- Acostúmbrate a eliminar cookies, mantener la navegación actualizada, elegir complementos y plugins de confianza, utilizar gestores de confianza y cerrar sesiones abiertas.
- No publiques más información de la necesaria en redes sociales, y elige bien quién puede acceder a ella.
El confidencial recogió ya en septiembre del año pasado un artículo que resumió la mesa redonda organizada por el diario de la mano de Telefónica Empresas en el que utilizaron el lema ‘Ciberseguridad: defiende tu empresa’. Se trató de un debate entre seis expertos en ciberseguridad, y uno de ellos tenía claro la importancia del asunto, hasta el punto de afirmar que: “las pymes del futuro que no cuenten con un experto en ciberseguridad morirán”
Aunque es cierto que se han llevado a cabo numerosas campañas dirigidas a la concienciación de la importancia de la prevención en esta materia, todavía queda mucho trabajo por hacer, y a las empresas no les quedará otra que o bien, contratar un experto en ciberseguridad, o formar a sus empleados en la materia. No es el objetivo de este artículo convertiros en expertos de la ciberseguridad (necesitaríamos escribir libros y no artículos), pero si os interesa profundizar un poco más, el INCIBE recoge numerosas guías que pueden ser de interés para los empresarios que buscan formarse.
El Esquema Nacional de Seguridad ofrece al sector público un planteamiento común respecto a los principios, requisitos y medidas de seguridad. Es más, está regulada en la Ley 40/2015 de Régimen Jurídico del Sector Público, y establece en su artículo 156.2 que el objetivo del Esquema Nacional de Seguridad es “establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada”. También es de mencionar la Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas que establece los derechos de la ciudadanía en relación con la administración
De esta manera, las instituciones públicas se deben adaptar al ENS , y para ello la administración electrónica facilita el siguiente esquema, que recoge las referencias de las guías detalladas que se deberán seguir en cada uno de los pasos marcados por el esquema.
ISO proviene de las siglas International Organization for Standardization en inglés, lo que podríamos traducir como Organización Internacional de Normalización o Estandarización. Se trata de una organización no gubernamental actualmente presente en más de 165 países con 23301 normas internacionales que cubren casi todos los aspectos de la tecnología y la fabricación.
El objetivo de la organización es crear ciertos estándares de calidad, seguridad y eficiencia de los distintos productos y servicios. Las empresas que cumplan con estos estándares estarán legitimadas para solicitar un certificado de la ISO.
Como ejemplos, se pueden mencionar la norma ISO 9001 de Sistemas de Gestión de Calidad y la serie de normas ISO 27000 relativas a aspectos de Sistemas de Gestión de la Seguridad de la Información (SGSI)
A raíz del covid 19 y a medida que ha crecido nuestra dependencia a la red incluso para teletrabajar, han crecido también los ciberataques. Pero es sabido que el teletrabajo ha venido para quedarse, y ya no hay excusas para no hacerlo bien. El INCIBE nos da algunas pautas para evitar meternos en problemas mientras trabajamos desde casa:
- Utilizar una Red privada virtual o VPN que crea una conexión cifrada y privada que impide espiar la información.
- Utilizar un escritorio remoto. De esta manera os podréis conectar con un dispositivo como si estuvieseis físicamente delante del equipo. Se recomienda combinarlo con la Red privada virtual.
- Respecto a los dispositivos a usar para el trabajo a distancia, el INCIBE recomienda utilizar los corporativos, pero no siempre se puede. Por ello habla de la necesidad de cumplir las recomendaciones de seguridad, utilizar contraseñas robustas, mantener actualizado el dispositivo o realizar copias de seguridad.
- También facilita información sobre utilizar de forma segura las herramientas colaborativas en la nube o tomar precauciones cuando hagas videoconferencias
- Por último se puede consultar la guía Seguridad en redes wifi: una guía de aproximación para el empresario para proteger la red doméstica de intrusos.
Si tenéis alguna otra duda no dudéis en consultar sin compromiso en este formulario.