Ciberataques a empresas y regulación jurídica

El Régimen jurídico de los ciberataques a las empresas españolas y su regulación

El pasado 12 de mayo de 2017 el mundo entero sufrió un ciberataque simultáneo que todavía sigue infectando multitud de ordenadores. El impacto ha sido brutal, ha afectado a la sanidad británica, a Administraciones Públicas del mundo entero, y a empresas como Telefónica. El cuplable es un troyano denominado ransomware WannaCry (WCry), que según leo en prensa, se podía haber parado con un dominio que sólo cuesta 10 euros  ¿Es esto el principio de una nueva forma de terrorismo?

Qué es un ciberataque y cómo podemos afrontar este peligro

Se define al ciberataque como una ofensiva, asalto o agresión hacia un sistema informático, ordenador, redes y sistemas de información. Las modalidades son muy variadas, encontrándose desde el secuestro del propio ordenador, hasta el chantaje, saboteo, espionaje, o robo de datos, contraseñas, claves, correos, etc.

Qué es un troyano malware o ransomware u otro virus que pueda infectar nuestro ordenador

Un programa malicioso que entra de manera camuflada en tu ordenador  pudiendo tener fines perjudiciales para tu equipo. Lo mismo ocurre con el término malware, que es un concepto informático para hacer referencia a un virus informático o a un programa hostil.

Qué tipos de ciberataques hemos sufrido hasta la actualidad en España

Según explica a eldiario.eseldiario.es una integrante de Anonymous,  “lo de Telefónica del pasado mayo de 2017 ha sido el típico ransomware a través de mail dirigido a las direcciones de correo de Telefónica. El típico phising que cualquier usuaria (sea de la empresa y ámbito que sea) se come al pulsar en el enlace o bajarse un archivo sin testarlo”.

Recomendaciones hace el Centro Criptológico Nacional que pueden ser útiles

Se ha alertado del ataque masivo de ransomware que afecta a Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red.

Se recomienda actualizar los sistemas a su última versión o parchear según informa el fabricante: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx. Para los sistemas sin soporte o parche, como Windows 7, se recomienda aislar de la red o apagar según sea el caso.

¿Esto nos puede afectar como usuarios o como propietarios de una pequeña empresa?

Rotundamente SI. Hace días me llegó un e-mail ofertándome Netflix gratis por tres o cuatro reencarnaciones. Si hubiese cliqueado con adolescente ilusión, no sé que habria sido de mi pobre ordenador.

Para todas aquellas personas que tengan empleados a su cargo, la responsabilidad no es sólo suya, aunque inviertan en antivirus y tengan medidas y sistemas de seguridad óptimos, una mala gestión por parte de un empleado, puede ser catastrófico. Y es que la seguridad 100% no existe.

Medidas de seguridad que podemos tomar para proteger nuestros ordenadores personales o pequeñas empresas

Pues no es necesario un gran presupuesto para desarrollar un sistema eficaz de medidas de seguridad en la información de sus empresas. Es cierto que se deben valorar las maneras, la falta de tiempo, el margen de error y la reducción de recursos, pero NUNCA PRESCINDIR de un sistema de seguridad eficaz y sensato.

Cuáles son los errores mas cometidos en la seguridad de la información

1.- Pensar que la información de un autónomo o PYME no interesan a nadie.

Esto es un error y cuanto lo sepamos menos sorpresas desagradables tendremos en el futuro. Tendemos a infravalorar nuestra información (¿no es importante proteger nuestros balances, cartera de clientes, tarifas de precios, procesos de producción, etc? ¡PUES ESO!)
Es fundamental saber que cualquier equipo (ya sea el ordenador de una multinacional o el portátil de un adolescente) es objeto para las “botnets” o redes de “PCs zombies” que son controlados en remoto y se utilizan para divulgar “spam” o atacar sistemas.

2.- Afirmar que la seguridad es algo técnico que sólo compete a los “informáticos”.

Esto conduce a descuidar aspectos legales y organizativos. Es necesario gestionar incidencias de seguridad (tales cómo pérdidas de pen-drives, desaparición de documentos, etc) así como los requerimientos legales, y conseguir evitar amenazas serias como el phising

La seguridad no es un producto que se pueda comprar ( un antivirus, cortafuegos, etc) es un proceso en constante cambio que debe involucrar a todos los miembros de la empresa.

3.- La confidencialidad es algo de espías y grandes multinacionales.

Otra leyenda urbana. Es cierto de las grandes empresas firman acuerdos de confidencialidad, y aunque al común de los mortales les suena a libro de John le Carré, esto no lo hace innecesarios en el ámbito de las PYMES. Tanto con proveedores, clientes y trabajadores debemos tenerlos. Tengamos presente que es algo sencillo de hacer, que sólo va a traernos beneficios y que su única finalidad es proteger la información de las personas y empresas.

4.- La Ley Orgánica de Protección de Datos esa gran desconocida.

Lo veo cada día entre mis colegas y clientes, como consumidora de servicios, que es una Ley que pasa desapercibida, que importa poquísimo que lleve vigente desde 1999. La mayoría de las empresas ignoran sus obligaciones en esta materia y sigo sin comprender porque nadie decide llevar a cabo acción alguna. Y es que, ya sea por evitar sanciones o por responsabilidad social corporativa para con las personas que nos confían sus datos, cualquier persona o empresa debería adoptar todas las medidas necesarias para garantizar la seguridad de los datos.

No nos descuidemos, los expertos advierten que esto volverá a pasar, y con un impacto mucho mayor. Yo por mi parte voy a ver esta serie, que me ha dicho una amiga que es fundamental para saber qué esta pasando.

 iso-27001-blog2
4 MEDIDAS PRÁCTICAS EN LA SEGURIDAD DE TU EMPRESA
  • 1.- Configura los ordenadores de tal manera que para acceder sea necesario introducir usuario/contraseña. (cambiándolas periódicamente, combiando mayúsculas y minúsculas…etc)

  • 2.- Es muy recomendable utilizar la firma electrónica, y así sustituir los documentos en papel al soporte electrónico.

  • 3.- No introducir ni solicitar datos por Internet sin que la conexión este cifrada. Evita las redes públicas o red wi-fi sin contraseña.

  • 4.- Hacer copias de seguridad periódicamente. Uno de los mayores riesgos que podemos correr es perder toda nuestra información si no hemos hecho una copia de seguridad. Existen programas gratuitos que hacen copias de seguridad a mediodía o por la noche (COBIAN, MCOPIAS, SYNCBACK son alguno de ellos).

    Soy María Murciano, pertenezco al Colegio de Abogados de Sevilla mi nº es el 14.266 y tengo despacho propio junto con otros compañer@s  en la Avenida de Luis Montoto 88 7ºB Sevilla.

Anuncios

One thought on “Ciberataques a empresas y regulación jurídica

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s