Ciberseguridad y Privacidad

Dicen que hay dos tipos de empresas: las que han sufrido un ciberataque, y las que todavía no saben que ya lo han sufrido. No sé si hay alguna estadística que respalde esta frase, pero sirve muy bien para explicar una preocupación de mucha actualidad. La ciberseguridad. Una palabra, por cierto, que no está formalmente reconocida por nuestra Real Academia de la Lengua, pero que sí ocupa buena parte de las preocupaciones de los Comités de Dirección y Consejos de Administración.

Cuando se sufre un ciberataque es habitual pensar si se podía haber hecho algo para evitarlo. Y aquí suelen surgir muchas quejas, lamentos y alguna que otra propuesta sobre la parte tecnológica de las empresas, sus sistemas informáticos y su organización interna.

Al fin y al cabo, son varias las vías desde las que una organización puede afrontar su ciberseguridad.

Por un lado nos encontramos con medidas de carácter tecnológico. Aunque es frecuente oír a los expertos que la seguridad absoluta no existe, las empresas pueden dotarse de medidas tecnológicas más o menos robustas que (se supone) les dan y trasmiten seguridad tecnológica.

Por otro tenemos las medias de carácter organizativo. Quién hace qué en la organización, siguiendo qué pasos y procedimientos. Una buena organización interna, con procedimientos y protocolos bien diseñados y definidos puede ser un pilar fundamental en la Ciberseguridad, y reducir en gran medida las posibilidades de sufrir un ciberataque.    

Pero pocas veces se habla de los aspectos legales.

Es verdad que no hay ninguna medida jurídica que permita a las empresas librarse definitivamente de un ciberataque. Pero lo que es indudable es que adoptar determinadas medidas de carácter legal sí puede servir para reducir, y mucho, las posibilidades de ser víctima de un ciberataque. El más habitual, por ejemplo, la posibilidad de organizar y controlar el uso que los trabajadores hacen de los medios electrónicos que la empresa pone a su disposición, cumpliendo eso sí determinadas garantías y formalidades.  Al fin y al cabo, en numerosas ocasiones la brecha de seguridad la ocasiona la imprudencia de un trabajador que se descarga de internet un software pirata, o que increíblemente –maldita curiosidad- abre un archivo adjunto de un correo electrónico tan ridículo como peligroso. Por tanto, no tengamos ninguna duda de que la ciberseguridad también depende de cuestiones de carácter legal.

Ahora bien, también hay que aclarar que la ciberseguridad no tiene por qué ir en contra de la necesaria protección y respeto de la privacidad de todos aquellos cuyos datos personales emplea la empresa; sus clientes, sus proveedores, sus trabajadores, etc. De hecho, el Reglamento General Europeo de Protección de Datos (“GDPR”) introdujo algunas cuestiones que pueden resultar de mucha utilidad.

Por un lado la designación de un DPO, o Delegado de Protección de Datos. Aun cuando una organización no esté legalmente obligada contar con un DPO, es especialmente aconsejable designar uno. Alguien –de dentro o de fuera de la empresa, el GDPR da margen de maniobra- que lidere internamente la protección de datos, que asesore a aquellos empleados que traten datos personales en su día a día, que les procure formación en la materia, que supervise que todo el mundo cumple con su deber. En definitiva, alguien que colabore a que todos cumplan las reglas.

También juega un papel fundamental el control que la organización lleve a cabo sobre aquellos proveedores que, para prestar sus servicios, necesiten acceder y tratar datos de su responsabilidad. El GDPR es especialmente novedoso y estricto en este tema, en el sentido de que obliga a las empresas a seleccionar con cuidado a cada proveedor y, una vez contratado, a supervisar y estar pendiente de cómo presta su servicio. Algo que debe hacer, bajo su responsabilidad, el Responsable del tratamiento. Así, una buena elección y supervisión de los proveedores puede contribuir, sin duda, a crear un entorno más seguro y fiable. Es verdad que, como decía Forrest Gump, “La vida es como una caja de bombones: nunca sabes lo que te va a tocar…”. Pero eso no quita para que las empresas muestren un mínimo de cuidado, de diligencia, de responsabilidad, a la hora de poner en manos de un tercero los datos personales de los que es Responsable.

Y, por supuesto, no olvidemos la formación. Un elemento clave para sensibilizar a los empleados, para que sepan qué cosas pueden y no pueden hacer. Para que conozcan las reglas de privacidad que deben seguir en su día a día. Para que, por ejemplo, sepan que si reciben un archivo de una persona que no conocen, en un “idioma” cuanto menos sospechoso, y desde una dirección de correo también sospechosa, quizás no deban abrirlo. Ni ejecutarlo. Parece obvio no hacerlo, ¿verdad? Por mucho que nos esté hablando de una jugosa herencia de un familiar lejano en Estados Unidos. Algo tan ridículo como peligroso y frecuente.

También podríamos hablar de otras cuestiones que introduce el GDPR: por ejemplo, que las empresas están obligadas a analizar qué riesgos puede generar su actividad sobre los datos personales que maneja. Para, acto seguido, articular e implementar mecanismos de control que los mitiguen. O a contar con un protocolo sobre cómo actuar ante cualquier posible brecha en su seguridad. Por terminar con dos ejemplos más.

En resumen, no pensemos que la ciberseguridad y la privacidad no son compatibles. Todo lo contrario. Una empresa que no preste atención a la privacidad, que no proteja adecuadamente la intimidad y privacidad de todos los datos personales que posea, probablemente esté más expuesta todavía a ser víctima de un ciberataque. Por eso, ante el cambio legal que ha supuesto el GDPR existen dos alternativas: limitarnos a cumplir sin más con la legalidad, o aprovechar la situación y afrontar un cambio interno en nuestras empresas que nos ayude a sentar las bases de una adecuada ciberseguridad. A trasmitir al ciberespacio (esta palabra sí está en la RAE) el mensaje de que la empresa respeta y potencia la seguridad y privacidad de su información.