Medidas para mejorar la ciberseguridad en las empresas

Spread the love

A medida que se multiplican los ciberataques a empresas, y que los efectos de tales incidentes son m谩s graves, la reflexi贸n relativa a los ciber-incidentes es m谩s intensa. Van surgiendo sugerencias y recomendaciones expertas relativas pr谩cticas corporativas internas y externas (respecto de proveedores, clientes, y otros con quienes interrelacionan en el curso de su actividad)

NYC_by Jara IPM

  • Desde el punto de vista de las relaciones de las empresas con terceros, se han sugerido ya algunas orientaciones聽tendentes a minimizar los riesgos derivados del entorno digital. Entre ellas, la revisi贸n de sus pr谩cticas contractuales para adaptar las definiciones y alcance de las exclusiones de responsabilidad pactadas. Estas pr谩cticas son especialmente relevantes en sectores como el 聽del transporte de viajeros. ; 聽 o en las empresas de transporte y distribuci贸n energ茅tica, por mencionar algunos de los que recientemente han sufrido grandes p茅rdidas, o han visto su actividad totalmente paralizada como consecuencia de ciberataques (sirva de ejemplo el ataque a Colonial Pipeline, y聽 los eventos de 6 de mayo de 2021). Tambi茅n son importantes para la gesti贸n p煤blica de infraestructuras y servicios que, al igual que el sector privado, han sufrido importantes ataques cibern茅ticos (v茅ase los que afectaron a varias ciudades de Texas en 2019).

 

  • Otro conjunto de pr谩cticas recomendadas para la prevenci贸n de riesgos cibern茅ticos consiste聽 en la contrataci贸n, mantenimiento y actualizaci贸n de seguros contra ciberriesgos cuyo alcance y coberturas pueden variar sustancialmente. Pueden cubrir gran variedad de riesgos como la seguridad de elementos f铆sicos susceptibles de recibir da帽os materiales fruto de una intervenci贸n il铆cita en los sistemas digitales de la empresa; da帽os derivados de p茅rdidas de datos (y los relativos a los gastos necesarios para recuperarlos), pasando por la contrataci贸n de expertos que van desde la recuperaci贸n de datos electr贸nicos hasta el an谩lisis experto del ataque, y la defensa en el caso (probable) de que se interpongan litigios contra el asegurado despu茅s de un ciberataque, o que 茅ste decida interponerlos. 聽Hoy, las pr谩cticas comerciales prudentes hacen que la contrataci贸n de seguros contra ciber-riesgos sea fundamental, hasta el punto de que la ausencia de esta cobertura puede, en si misma dar lugar a acusaciones de falta de diligencia por parte de los administradores.

 

NYC_by Jara IPM. One Trade Center Tower

  • Continuando en esta enumeraci贸n, la contrataci贸n de expertos externos especializados en la prevenci贸n y control de los ciberataques se considera una buena pr谩ctica. Los especialistas en ciberseguridad desempe帽an un papel importante para minimizar la exposici贸n, para detectar y supervisar los riesgos as铆 como para establecer protocolos de seguridad de la infraestructura de informaci贸n de una empresa. Como buena pr谩ctica, la contrataci贸n de estos expertos es tambi茅n interesante como defensa en caso de litigio derivado de un ciberataque, en el sentido de que la empresa afectada puede aportar, a su favor, que sus protocolos estaban supervisados por expertos.

 

  • No es menos relevante, que la entidad cuente con profesionales cualificados en su seno como el CISO –Chief Information Security Officer- o el CSO, Chief Security Officer , o el CIO Chief information Officer, figuras que se van introduciendo en la pr谩ctica, en los est谩ndares de seguridad como NIST o ISO, y van penetrando el 谩mbito normativo positivo.聽 En este sentido, recordamos algunas entradas anteriores en este blog,聽 como la relativa al Responsable de Informaci贸n (exigido a las administraciones conforme al Esquema Nacional de Seguridad y tambi茅n a ciertas empresas que contratan con la administraci贸n), que debe ser una figura distinta del Responsable de Seguridad y tambi茅n del Responsable del Servicio en los t茅rminos del Real Decreto 3/2010. O el Responsable de Seguridad de la Informaci贸n en los Operadores de Servicios esenciales, conforme al Real Decreto 41/2021) Como ya anunci谩bamos, estas figuras de altos ejecutivos se van haciendo habituales en la pr谩ctica聽 y han sido reforzadas mediante su inclusi贸n en est谩ndares de ciberseguridad como los NIST e ISO (familia 2700), y en recomendaciones de los CERN nacionales.