La ciberseguridad es una de las áreas que se ven más impactadas tras la aplicación obligatoria del Reglamento General de Protección de Datos de la Unión Europea (RGPD). El mandato que se impone a las empresas de notificar a la Agencia Española de Protección de Datos cualquier violación de seguridad de datos personales, lo mismo que a cada interesado afectado de forma individual cuando la violación de seguridad pueda suponer un riesgo para sus derechos y libertades, ha hecho que la ciberseguridad no se quede ya en el ámbito interno de la compañía.
“Cualquier incidente que afecte a datos personales se convertirá ya en un asunto público, bien en conocimiento de la administración, o bien de todas las personas afectadas fuera de la organización”, ha asegurado Alejandro Padín, socio de Garrigues, en la jornada “Ciberseguridad: riesgos y amenazas en el entorno empresarial”, organizada por el Club de Exportadores e Inversores, Aon y ESADE Business & Law School.
A juicio del jurista, la nueva situación creada por la entrada en vigor del RGPD justifica que “la estrategia de ciberseguridad esté alineada con la estrategia de cumplimiento de protección de datos personales, y que ésta última, a su vez, incorpore el enfoque de ciberseguridad”.
Sólo el 15% de los activos informacionales se aseguran
Pablo Montoliu, Chief Information & Innovation Officer (CIIO) de Aon España, insistió en que actualmente las empresas presentan una mayor exposición cibernética, debido a la convergencia de tres tendencias: primero, la creciente dependencia de la tecnología por parte de las organizaciones; segundo, la mayor concentración de los reguladores en la protección de los datos de los consumidores; y tercero, el valor en aumento de los activos no físicos. “Una mayor exposición requerirá un enfoque integrado de ciberseguridad para los marcos tanto de cultura empresarial como de gestión de riesgos. Los líderes deben adoptar un enfoque de gestión de riesgos cibernéticos coordinado y orientado al C-Suite, al cuerpo directivo, lo que les permitirá evaluar y mitigar mejor el riesgo en todas las funciones de la empresa”, explicó el CIIO de Aon España.
Montoliu remarcó el hecho de que el cibercrimen produzca un quebranto económico cercano a los 500.000 millones de dólares al año, lo que equivale aproximadamente al 1% del PIB mundial. Asimismo, citó como puntos débiles en la respuesta institucional hacia este tipo de riesgos, la mayor vulnerabilidad de las pequeñas y medianas empresas, que proveen de servicios a grandes corporaciones y que son con mucha frecuencia la puerta de entrada para estas amenazas, y los riesgos internos derivados de errores cometidos por el personal de la empresa en el procedimiento de gestión o custodia de la información.
El CIIO de Aon España recomendó a las empresas no sólo identificar los activos tecnológicos críticos dentro de sus estructuras e introducir medidas de mejora, sino también cuantificar el ciberriesgo y proceder a transferirlo al mercado asegurador.
En este sentido, señaló que actualmente sólo están asegurados el 15% de los activos informacionales de las empresas, frente a un 59% de los activos físicos. No obstante, se trata de una práctica que irá en aumento en los próximos años. Se calcula que en 2020 el negocio del ciberseguro ascenderá a 10.000 millones de dólares, frente los 5.000 que representa en la actualidad.
Reducir el tiempo de respuesta
Un representante del Centro Criptológico Nacional (CCN) señaló que el objetivo principal de esta organización dependiente del CNI en su lucha contra el cibercrimen es conseguir reducir al máximo el tiempo que transcurre entre el momento en que se produce la infección y el descubrimiento del ataque. Según dijo, mientras que la infección de una red puede producirse en minutos o en días, la identificación del ataque pueda tardar meses e incluso años en descubrirse.
Este experto señaló que sólo en 2017 el CCN gestionó 27.000 incidentes de seguridad en España, y remarcó que uno de los rasgos de personalidad de este tipo de delincuentes es su persistencia para lograr su propósito, que no es otro que permanecer en las redes de sus víctimas, fundamentalmente empresas e instituciones gubernamentales, durante meses y años con el único propósito de extraer información.
A su juicio, entre los factores que contribuyen a hacer más vulnerables las organizaciones contra este tipo de crímenes se encuentran la debilidad de los sistemas de protección, la falta de concienciación y desconocimiento del riesgo; las escasas configuraciones de seguridad de los sistemas y la escasez de personal de vigilancia y seguridad digital en las organizaciones. El experto aseguró que hay que invertir en ciberseguridad tanto como en seguridad física, y subrayó como muy importante el que los afectados compartan la información sobre los incidentes.
Transversalidad para gestionar la ciberseguridad
Juan Luis Manfredi, director académico del Observatorio para la Transformación del Sector Público ESADE-PwC, incidió en el concepto de transversalidad a la hora de afrontar los asuntos de ciberseguridad. “Los asuntos de ciberseguridad son transversales. Afectan a los activos tangibles e intangibles, de modo que necesitan una respuesta completa. No se trata solo de una solución tecnológica, sino del desarrollo de una política pública que entienda la naturaleza de la transformación digital. En el ámbito privado, dicha estrategia será una de las grandes preocupaciones del consejo de dirección en el corto plazo”.
La clausura de la jornada corrió a cargo de Antonio Bonet, presidente del Club de Exportadores e Inversores, quien subrayó que la mayor conectividad de las empresas y su dependencia de los sistemas de información introduce crecientes cotas de riesgo en las organizaciones y recomienda la adopción de planes de contingencia que trasciende las propias capacidades de los CIOS para irrumpir de lleno en la visión estratégica de los consejos de administración.
