Reducción por reserva de capitalización
MARÍA ROLDÁN LLAMAS
María Roldán Llamas
Letrada Asociada Senior

¿Cómo pueden las empresas prevenir ciberataques?

← Volver al blog
5/5 - (1 voto)
Devesa Abogados > Blog
MARÍA ROLDÁN LLAMAS
María Roldán Llamas
Letrada Asociada Senior

¿Cómo pueden las empresas prevenir un ciberataque? El 89 % de todos los ciberataques tienen una motivación financiera o de espionaje (Verizon, 2016) y las víctimas —gobiernos y empresas— no suelen hacerlo público por su grave incidencia en la credibilidad, la confianza y la reputación.

Prevenir ciberataque protegiendo la información y los datos personales

El objetivo de estos ataques es la información (1010101010100011001) y, dentro de ella, uno de los mayores activos que existen: los datos personales de millones de personas.
Ni que decir tiene que los datos personales tienen valor en sí mismos, en cuanto permiten “comercializar” con ellos en el tráfico jurídico-mercantil (moda, belleza, vivienda, automoción, etc.), pero también son instrumento de una larga lista de delitos: piratería, pornografía, phishing, fraude, suplantación de identidad, ingeniería social, bullying, entre otros.

Conocer cómo se realizan estos ataques y cómo evitarlos puede marcar la diferencia entre la vida o la muerte de una organización (Yahoo, Ashley Madison y muchas otras). Este es el principal motivo por el que los ataques a grandes corporaciones no suelen salir a la luz.

Claves esenciales para prevenir ciberataque y proteger la ciberseguridad

Las ideas-fuerza que debemos tener en cuenta al hablar de ciberseguridad y privacidad de los datos personales son las siguientes:

Vulnerabilidad

Todos los expertos lo afirman con rotundidad: no existe la invulnerabilidad. A medida que avanza el Internet de las Cosas (IoT) —con previsiones de 50.000 millones de dispositivos conectados—, el riesgo aumenta, ya que los dispositivos estarán “siempre conectados” y los ciberdelincuentes son cada vez más sofisticados, llegando incluso a burlar sandboxes mediante malware artesanal.
En consecuencia, el foco debe ponerse en el grado de preparación frente al incidente de seguridad, siendo la prevención el elemento diferenciador entre organizaciones (caso Tesla vs. Chrysler).

Factor humano

El factor humano lidera las causas de brechas de seguridad, tanto por actuaciones dolosas como negligentes. Esto obliga a reforzar la prevención mediante concienciación y formación de todas las personas que intervienen en los procesos de información de la organización. No es casual que se desarrollen soluciones tecnológicas destinadas a minimizar el error humano.

Velocidad de los cambios

Como afirmaba Jack Welch (GE): “Cuando el ritmo de los cambios dentro de la empresa es superado por los del entorno, el final está cerca”.
La llamada cuarta revolución industrial se caracteriza por una velocidad de cambio exponencial, que impacta directamente en la gestión del riesgo digital.

Factor económico

La ciberdelincuencia está íntimamente ligada al factor económico: fraude, robo directo (ransomware), o sustracción de información como medio para cometer otros delitos.

Ubicuidad

La ciberseguridad no tiene apellidos: afecta a cualquier tecnología, sector, dispositivo o terminal. Su prevención debería integrarse en el diseño de la tecnología, algo que en la práctica todavía no sucede de forma generalizada.

Cómo actúa un ciberataque y por qué es clave prevenirlo

La secuencia de un ciberataque es siempre la misma y actúa sobre una o varias capas de la arquitectura de cualquier dispositivo (hardware, firmware, sistema operativo y aplicaciones):

  1. Existencia de una vulnerabilidad
  2. Creación de un exploit diseñado para aprovecharla
  3. Intrusión a través de un vector de ataque (adjuntos, correo electrónico, navegador, etc.)
  4. Infraestructura de explotación para controlar el sistema atacado

La debilidad de los sistemas de información se relaciona con la falta de concienciación de fabricantes y usuarios, así como con la insuficiente formación, lo que refuerza la importancia de la privacidad por diseño y por defecto.

Estrategias para prevenir ciberataque y defenderse de la ciberdelincuencia

Para defenderse de la ciberdelincuencia, es necesario actuar sobre los cuatro elementos de la secuencia del ataque:

  • Prevención desde el diseño hasta el usuario
  • Detección: vigilancia, monitorización y alertas
  • Vector de intrusión: prevención, concienciación y formación en buenas prácticas
  • Mecanismo de respuesta: limpiar, desinfectar, mitigar y recuperar

Esta filosofía sustenta la normativa europea de protección de datos (GDPR), basada en los principios de responsabilidad por diseño y por defecto. Los riesgos sobre la privacidad deben contemplarse desde el diseño del producto o servicio, limitando el tratamiento de datos a lo estrictamente necesario.

La exigencia normativa responde a dos razones fundamentales:

En los próximos años, los organismos de control europeos irán definiendo criterios interpretativos a través de su aplicación práctica en organizaciones y administraciones públicas.

¿Necesita asesoramiento? Acceda a nuestra área relacionada con la prevención de ciberataques:

Compliance normativo

5/5 - (1 voto)

Artículos relacionados

Derecho Mercantil y Societario, Fiscal, Laboral
Retribución de administradores claves legales y riesgos
  • Retribución de administradores: claves legales y riesgos
    • Fiscal
    Ganancias Patrimoniales no justificadas doctrina reciente del Tribunal Supremo
  • Ganancias Patrimoniales no justificadas: doctrina reciente del Tribunal Supremo
    • Empresa Familiar
    El testamento es fundamental en la planificación sucesoria de la empresa familiar
  • El testamento es fundamental en la planificación sucesoria de la empresa familiar
    • Derecho Mercantil y Societario
    Cláusulas preexistentes que pueden condicionar una operación de M&A
  • Cláusulas preexistentes que pueden condicionar una operación de M&A
    • Contacta / Contact us