Medidas técnicas y organizativas para evitar un ciberataque

VolverLa progresiva evolución de los delitos informáticos es un tema de inquietante actualidad. En los tiempos que corren no es suficiente con la instalación de un antivirus, ya que los hackers van un paso por delante de los habituales sistemas de protección informática. En la actualidad existen muchos ciberataques de los que somos conocedores, unos más peligrosos que otros, ya que ponen en riesgo información confidencial y pueden dañar la imagen, reputación y honor de una empresa. Estos ciberataques también provocan cuantiosas pérdidas de carácter económico, lo que hace cada vez más necesario el asesoramiento legal para implantar sistemas de protección contra estos ciberataques.

Uno de los últimos ciberataques acontecidos fue el sufrido por el Ministerio de Defensa Español. El virus informático se filtró por un correo electrónico infectado teniendo como principal objetivo robar secretos de alta tecnología militar. Algunas de las fuentes aseguran que el ciberataque no fue perpetrado desde dentro o por algún pirata nacional, sino que se trata de un ciberataque desde un Estado extranjero. El Ministerio de Justicia también sufrió un ciberataque recientemente en su sistema telemático de comunicaciones LexNet, teniendo acceso los hackers a documentación e información confidencial. Además de estos últimos ciberataques al Estado Español, son numerosas las empresas españolas que se enfrentan a estas ciberamenzas quedando sus sistemas informáticos contaminados. Estos virus se introducen a través de un correo electrónico infectado, un archivo adjunto, o, simplemente, al introducir un pen drive o mediante impresoras con acceso a Internet. Estos ataques informáticos se consiguen por la falta de medidas de ciberseguridad actualizadas o por estar estas medidas de seguridad desfasadas y anticuadas.

Las consecuencias de un ciberataque pueden producir incalculables pérdidas económicas para el negocio, unido a la fuga de datos sensibles y confidenciales. Estos ciberataques van un paso por delante y son numerosos los tipos de ciberataques de los que podemos ser víctimas. La persona que hay detrás de estos delitos informáticos no tiene por qué encontrare en el Estado donde se produce el incidente, pues la ciberamenaza puede haberse operado desde un país extranjero. Es importante que sepamos diferenciar los diferentes tipos de ciberataques existentes para entender a la amenaza a la que nos enfrentamos en cada situación. Algunos de los más conocidos son:

- Spyware: a través de este malware se recopila información ajena mediante la infección de un ordenador. Este virus es utilizado por los hackers para recopilar datos sensibles (secretos empresariales, comerciales,, económicos, etc.) de una empresa y poder lucrarse de ellos vendiéndolos a terceros sin conocimiento o consentimiento del propietario.

- Phishing: este ciberataque es muy común y se expande vía email, accediendo de esta manera a información confidencial de la empresa.

- Adware: infectan ordenadores para obtener información personal de los internautas mediante softwares que muestran anuncios publicitarios.

- Ransomware: con este ciberataque se bloquea el sistema de una empresa, solicitando un rescate para la liberalización del mismo. Con este virus la empresa queda totalmente paralizada sin poder funcionar.

- Gusanos: estos virus, junto con los troyanos, son los más conocidos por su uso reiterado por parte de los hackers. Este virus se va propagando por el resto de equipos informáticos en cadena, provocando una rápida expansión del virus, colapsando de esta manera los ordenadores y las redes informáticas.

Para estas amenazas y ataques, de las que hemos podido enumerar las más relevantes actualmente, cabe implantar una serie de medidas técnicas y organizativas para evitar una infección provocada por las mismas. Estas medidas son las estipuladas en el Reglamento General de Protección de Datos (RGPD) y en la Norma ISO 27001, que es una norma internacional que permite el aseguramiento, confidencialidad e integridad de los datos, permitiendo a las diferentes organizaciones evaluar el riesgo y aplicar controles para mitigarlos o eliminarlos. Estas medidas técnicas y organizativas son las siguientes:

1. Confidencialidad: basada en el control de acceso físico, sistemas y control de acceso a datos (uso de software antivirus, uso de sistema de detección de intrusos, grabación de destrucción de datos, etc.), controles de transmisión (uso de firewalls, registro de fax, medidas de grabación, entre otros), seudonimizacion y la encriptación de datos (móviles, correos electrónicos, soporte de datos, etc.).

2. Integridad: a través de los controles de entrada mediante las grabaciones de entrada, el registro de acceso a las aplicaciones, etc., así como los controles de integridad revisando periódicamente la integridad de los datos, sistemas de detección de intrusión y la detección en tiempo real de violaciones contra la integridad.

3. Disponibilidad y resiliencia: usando controles de recuperabilidad y de disponibilidad.

4. Control de procesos y evaluación de eficacia: realizando un control rutinario de contratos y del trabajo, protección de datos por defecto, una correcta gestión de Protección de Datos, controles de eficacia y un suministro regular de certificados de seguridad.

En nuestro Departamento de Derecho Digital de Belzuz Abogados, S.L.P. contamos con amplia experiencia para implantar estas medidas de control y seguridad en aquéllas organizaciones que se vean en la necesidad de actualizar o modificar sus sistemas de ciberseguridad para evitar uno de los ciberataques que hemos destacado en nuestro artículo. Dadas las continuas y novedosas ciberamenzas es imprescindible actualizar y revisar nuestro plan de seguridad online para evitar posibles ciberataques que produzcan una fuga no deseada de información relevante para nuestro negocio.

Covadonga Peñas CoveñasCovadonga Peñas Coveñas 

Departamento de Tecnologías de la Información y de la Comunicación (TIC)

 

Belzuz Abogados SLP

La presente publicación contiene información de carácter general sin que constituya opinión profesional ni asesoría jurídica. © Belzuz Abogados, S.L.P., quedan reservados todos los derechos. Se prohíbe la explotación, reproducción, distribución, comunicación pública y transformación total o parcial, de esta obra, sin autorización escrita de Belzuz Abogados, S.L.P.

0
0
0
s2smodern

Madrid

Belzuz Abogados - Despacho de Madrid

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Lisboa

Belzuz Abogados - Despacho de Lisboa

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisboa

+351 21 324 05 30

+351 21 347 84 52

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Oporto

Belzuz Abogados - Despacho de Oporto

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Asociaciones

Subir