La llegada de los meses de julio y agosto modifican algo la actividad de los miles de empresas y autónomos de nuestro país. Sin embargo, el riesgo de ciberataques está ahí y hay que buscar la manera de mantener nuestros protocolos para evitar cualquier ciberataque que pueda llegarnos.
Francisco Pérez Bes, fue secretario general de INCIBE, el organismo que vela por la ciberseguridad de ciudadanos y empresas en nuestro país y su carrera profesional ha estado volcada en esta práctica, así como en el derecho digital.
Hace seis años publicó el primer Código de Derecho en materia de ciberseguridad que acaba de actualizarse hace unos días.
Se trata de un compendio completo de la normativa que afecta a todos los diversos aspectos de la ciberseguridad y seguridad de la información en la actualidad desde sus diversos enfoques e implicaciones que pueden descargar gratuitamente desde el enlace, al final de este artículo.
Más recientemente ha coordinado un memento experto en Derecho de la ciberseguridad, así como un libro infantil (“cuentos de ciberseguridad”) para concienciar a los niños acerca de los riesgos de la navegación por Internet.
Perez Bes, ahora como socio responsable del área de derecho digital de la firma Ecix Group, dedica mucho tiempo a la labor de formación a nivel empresarial y ayudar a las empresas a definir sus estrategias de ciberseguridad para minimizar el impacto de esos ciberataques.
Desde su punto de vista “Las vacaciones laborales se convierten en un riesgo para las empresas, pues nuestros expertos y responsables en seguridad corporativa se ausentan, por lo que es fundamental disponer de unos protocolos que ayuden a la compañía a seguir gestionando este tipo de amenazas. Y, en el caso de que trabajen, pero lo hagan en remoto, deberemos garantizar que su conexión a los sistemas de la empresa sea robusta, al igual que ocurre con el teletrabajo”.
Nuestro interlocutor cree que es un tema de gran relevancia procedimental, debiendo tener en cuenta, en particular la operativa en la que la empresa se ve inmersa en este periodo vacacional. “La ciberseguridad nunca cierra por vacaciones”, afirma.
Junto con estas medidas organizativas, Pérez Bes es partidario de implementar otras de carácter tecnológico “las conexiones remotas de los empleados y directivos deben ser seguras, preferiblemente con redes VPN. Y, adicionalmente, la empresa debería facilitar a sus empleados protectores de pantalla (por si trabajan durante sus trayectos vacacionales, para evitar que su trabajo sea visto por terceros), conexiones de datos (para evitar tener que conectarse a redes inseguras), o antivirus, entre otras cosas.
Al mismo tiempo este jurista es partidario de poder contar con “sistemas de borrado de información a distancia, por si tu dispositivo se extravía. En este sentido, es muy importante que la compañía diseñe un plan donde se regule el uso de dispositivos de trabajo en vacaciones, y que refuerce la seguridad de esas conexiones en remoto que hagamos desde fuera de las instalaciones, en particular cuando se viaja a otro país”.
Este experto insiste en que “siempre debe haber una visión doble de la ciberseguridad en vacaciones, que conjugue la parte organizativa para adaptarnos al nuevo escenario, y la tecnológica, de la que no podemos prescindir”.
Formar al empleado en ciberseguridad
Para este jurista “es muy importante que tengamos claro que hay que formar a nuestros profesionales en ciberseguridad, actualizando periódicamente sus conocimientos para que sepan realmente lo que tienen que hacer cuando se enfrentan a un riesgo a una ciberamenaza. Los estudios demuestran que la mayoría de los incidentes de ciberseguridad se producen por errores humanos, por lo que es un acto de diligencia empresarial el reforzar este aspecto”.
En este sentido, Ecix es una organización que se caracteriza por sus recursos formativos a empresas. Su último producto consiste en un escape room de privacidad, con el que están logrando altas tasas de concienciación entre los profesionales en materia de protección de datos.
Pérez Bes cree que falta sensibilización en materia de seguridad de la información. este tipo de asuntos específicos: “es importante explicarles en esas píldoras formativas, qué riesgos asume el empleado o directivo durante esos días, y cuáles son las medidas de prudencia a aplicar durante nuestro viaje. Por ejemplo, el riesgo de sustracción del equipaje y de nuestros dispositivos puede suponer una brecha de seguridad de la organización, cuya responsabilidad recae en la empresa”.
“Lo habitual para proteger estos dispositivos es tenerlos siempre cerca y no dejarlos fuera de nuestro campo de actuación. De esa manera podremos evitar cualquier contingencia que haga que ese dispositivo móvil u ordenador desaparezca y, con él, toda la información que hay ahí de nuestra empresa, con los problemas que puede generar la pérdida de esa información”.
Al final “en cualquier desplazamiento deberemos estar alerta. Pero cuando viajamos a determinados países, es importante ser conscientes de la amenaza que supone dejar nuestro portátil en el hotel, o perder el móvil en un taxi o en una cafetería si el dispositivo no está bien protegido, especialmente si por razón de nuestro cargo o responsabilidades, podemos tener accesos a información confidencial de nuestra empresa”.
Otro consejo que nos ofrece este experto en ciberseguridad “tiene que ver con los empleados que no están de vacaciones, pero que interactúan con sus responsables que sí lo están. En este sentido, los deep fakes y las imitaciones de voz, al igual que la suplantación de identidad por correo electrónico, pueden ser una técnica muy eficaz para los cibercriminales. Es importante contrastar cualquier instrucción relevante, y seguir los procedimientos internos antes de tomar cualquier decisión que pueda poner en peligro los activos de la compañía”.
No hay que olvidar que los delincuentes saben que en época vacacional falta personal en la empresa y puede ser más eficaz suplantar la identidad de directivos para cometer fraudes”.
Ojo al fraude del CEO
En estas circunstancias se producen “fraudes de ingeniería social, el llamado fraude del CEO, donde alguien se hace pasar por nuestro director general para pedirnos una información o una cantidad económica, o cualquier cambio de improviso de cuentas corrientes es un momento idóneo para hacer esa operación y así realizar esa actividad fraudulenta”.
Otra cuestión que recomienda este experto es que “si nos vamos de vacaciones seamos prudentes con los mensajes que publicamos en redes sociales. Al mismo tiempo hay que tener cuidado con el aviso de nuestro correo electrónico (out of the office) para no revelar más información de la estrictamente necesaria.
El regulador nos recuerda que cualquier incidencia de calado relacionada con la información que manejamos se puede convertir en brecha de seguridad, y según dice la normativa vigente tendrá nuestra empresa 72 hora para poner en conocimiento del regulador español, en este caso la AEPD, que se ha producido ese incidente de seguridad.
También este experto recuerda los riesgos de conectarse uno desde la wifi de un aeropuerto o cualquier lugar de descanso sin que tenga demasiada seguridad dicha conexión que hacemos “esas conexiones en abierto pueden facilitar que seamos víctimas de fraudes, o provocar daños en nuestro dispositivo”.
Cuidado con relajarse
Francisco Pérez Bes es consciente que en esta época veraniega “la relajación llega al mundo de la empresa desde diferentes puntos de vista. Pero hay que darse cuenta que, en materia de ciberseguridad, no podemos bajar la guardia porque, debido a la ausencia de determinadas personas, puede resultar difícil la gestión de determinadas crisis o incidentes en el sentido de la compañía”.
En este contexto este jurista subraya que “también en vacaciones hay que desconfiar de ofertas que nos lleguen de apartamentos a buen precio o invitaciones a conciertos de música y actividades similares que no sabemos quién nos lo manda. Es posible que sean falsas y que lleven añadido algún pdf que al pinchar en él, nos instale software malicioso en nuestro equipo y nos genere un grave contratiempo con posterioridad”.
En este tipo de invitaciones “debemos desconfiar si nos piden datos personales sensibles como puedan ser nuestros datos bancarios porque nos dicen que la oferta es solo por 24 o 48 horas. Normalmente son ofertas falsas que pueden enmascarar un ciberataque a nuestra empresa o cualquier intento de fraude”.
Desde esta perspectiva “volvemos a hablar de la formación y concienciación entre los profesionales de nuestra empresa. Es importante que esa formación que se imparta ayude a los empleados de cualquier organización a detectar un fraude de manera previa para evitar caer en él y generar con posterioridad un incidente de ciberseguridad de calado. Hay que estar alerta todo el año en materia de ciberseguridad”.
Desde un punto de vista práctico, se trata de “poder seguir manteniendo un nivel elevado de confidencialidad y de secreto en relación a la información que manejemos, estemos donde estemos”.
Resolver un incidente de ciberseguridad en verano “es más complejo de lo habitual, por lo que puede ayudar mucho tener implantado un protocolo de actuación adaptado a estas especiales circunstancias, para que las decisiones se tomen rápido, aunque los responsables no se encuentren en la oficina”.
Con esta forma de actuación “se trata de mantener la agilidad en la toma de decisiones, sin perder el rigor, para ser eficaces y diligentes en la lucha contra los ciber incidentes, también en vacaciones, concluye”.
Por @LuisjaSanchez, Periodista Jurídico y Francisco Pérez Bes, socio de Derecho Digital de Ecix Group.
