Obligaciones en ciberseguridad para las empresas

La ciberseguridad es un área crucial en la actualidad, tanto para personas físicas, como para las empresas y es por ello que nuestra normativa nacional establece determinadas obligaciones para las empresas en esta materia.

En los últimos años este tema ha pasado de ser un mero riesgo para los empresarios, como para cualquier otro usuario de tecnología, a verse compelido a cumplir toda una serie de obligaciones, puesto que, en ultimo caso, se va a exigir responsabilidad a las empresas en caso de sufrir ciberataques, si éstos han causado perjuicio a sus clientes o trabajadores.

El cumplimiento de estas obligaciones y recomendaciones, permite proteger los sistemas informáticos y garantizar la confidencialidad, integridad y disponibilidad de la información corporativa.

La ciberseguridad en el ámbito de la empresa

A continuación te damos algunos detalles de por qué es tan relevante el cumplimiento de las obligaciones en materia de ciberseguridad:

1. Protección contra ciberataques: En 2021, el 90% de las empresas españolas sufrió algún tipo de ciberataque. Estos ataques pueden robar información, interrumpir servicios, suplantar identidades digitales o espiar.
2. Variedad de amenazas: La ciberseguridad aborda amenazas tanto dentro como fuera de los sistemas de una organización. Desde correos electrónicos de phishing hasta malware, es esencial protegerse contra diversas formas de ataques.
3. Tipos de ciberataques comunes:
   • Phishing: Los ciberdelincuentes envían correos electrónicos haciéndose pasar por entidades reconocidas para robar datos personales o sensibles.
   • Malware: Programas maliciosos que pueden bloquear equipos o facilitar el control externo.
   • Virus, gusanos, troyanos: Diversos códigos maliciosos que afectan a usuarios y empresas.
4. Importancia para las empresas:
   • Confidencialidad: Protege la información sensible de la empresa.
   • Integridad: Evita modificaciones no autorizadas en los datos.
   • Disponibilidad: Garantiza que los servicios estén disponibles incluso después de un ataque.
   • Mejora la imagen corporativa y la confianza de los clientes.

En resumen, la ciberseguridad es vital para mantener la seguridad de los sistemas y la continuidad del negocio en un mundo cada vez más digitalizado.

Principales retos en ciberseguridad para las empresas

Para 2024, según publicó Cinco Días, podemos identificar varios retos que resultan vitales y a los que las empresas tendrán que enfrentarse en relación con la ciberseguridad:

• Brechas de seguridad: A medida que más compañías migran a la nube, la seguridad de los datos se convierte en un objetivo prioritario para los ciberdelincuentes.
• Falta de talento en ciberseguridad: La escasez de profesionales especializados en ciberseguridad es un problema creciente.
• Externalización de servicios de ciberseguridad: Ante la complejidad y el alcance de las amenazas actuales, muchas empresas optan por externalizar la ciberseguridad.
• Uso de la inteligencia artificial en ciberseguridad: La IA se ha convertido en una herramienta doble filo, utilizada tanto para mejorar las medidas de ciberdefensa como para desarrollar malware avanzado.
• Ciberguerra: Los conflictos geopolíticos han llevado a un aumento de los ciberataques patrocinados por estados.
• Amenazas a aplicaciones móviles: Con el incremento en la funcionalidad y almacenamiento de datos sensibles, las aplicaciones móviles se han convertido en un objetivo primario para los atacantes, dado que muchas personas almacenan información personal y financiera en sus dispositivos móviles.

A pesar de los avances en tecnología, el factor humano sigue siendo el eslabón más débil en la cadena de seguridad. La formación en ciberresiliencia y la concienciación sobre prácticas de seguridad son esenciales para reforzar las defensas de cualquier organización.

Obligaciones en ciberseguridad para las empresas

El Ministerio de Industria y Turismo, establece en la Plataforma PYME, las obligaciones que, en materia de ciberseguridad deben cumplirse por parte de las empresas.

La normativa de la que emanan estas obligaciones viene recogida en el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que establece determinadas obligaciones para las empresas en materia de ciberseguridad.

Aunque su ámbito de aplicación es fundamentalmente el de las empresas que prestan servicios esenciales en sectores estratégicos, como la salud o la energía, también se aplica a las empresas que prestan determinados servicios digitales y que no sean microempresas o pequeñas empresas. Los servicios digitales incluidos son:

• Mercados en línea (comercio electrónico).
• Motores de búsqueda en línea.
• Servicios de computación en la nube.

Por tanto, las medianas y grandes empresas que presten alguno de estos servicios quedan dentro del ámbito de la ley, y tienen las siguientes obligaciones:

1. Comunicar su actividad (artículo 7): Los proveedores de servicios digitales deberán comunicar su actividad a la autoridad competente en el plazo de tres meses desde que la inicien, a los meros efectos de su conocimiento. La autoridad competente es el Ministerio de Transformación Digital y la comunicación se puede realizar por vía electrónica:
   • Comunicaciones del artículo 7 y la disposición adicional 4º del Real Decreto-ley 12/2018 de Seguridad de las Redes y Sistemas de Información
2. Adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información (artículo 16). Aunque no se indica una relación detallada de medidas, sí se indica que se deberán tener en cuenta los siguientes aspectos:
   • La seguridad de los sistemas e instalaciones. 
   • La gestión de incidentes. 
   • La gestión de la continuidad de las actividades. 
   • La supervisión, auditorías y pruebas. 
   • El cumplimiento de las normas internacionales. 
3. Notificar los incidentes de seguridad significativos a través del Equipo de respuesta a incidentes de seguridad (CSIRT – Computer Security Incident Response Team). Para el caso de prestadores de servicios digitales, el CSIRT es el INCIBE-CERT

Recomendaciones en ciberseguridad para empresas

Aún cuando la empresa no esté incluida en el ámbito de la ley, y no esté sujeta a las obligaciones que establece, es recomendable definir un plan de seguridad e implantar una serie de medidas que nos protejan frente a los ciberataques. Para ello es necesario:

1. Realizar un análisis de riesgos, evaluando las consecuencias de la pérdida de los sistemas de información. Por ejemplo, un ataque de tipo ransomware puede encriptar todos los equipos, paralizando la actividad del negocio y destruyendo información necesaria para afrontar las obligaciones frente a clientes, proveedores, empleados o incluso administraciones públicas. 
2. Definir una política de seguridad, comunicarla a los empleados y formarles en su correcto cumplimiento. El punto más débil en materia de ciberseguridad no suelen ser las máquinas, sino las personas. La política debe incluir:
   • Aplicaciones permitidas y no permitidas. 
   • Restricción de permisos de administración de equipos de usuario. 
   • Políticas de almacenamiento (¿se hacen copias de seguridad de los puestos de usuario o sólo de los servidores?). 
   • Uso del correo electrónico. 
   • Uso de dispositivos externos (pendrives). 
   • Uso de dispositivos personales (BYOD).
3. Además de la normativa para los empleados, se deben establecer una serie de procedimientos técnicos:
   • Política de gestión de usuarios (altas, bajas, permisos). 
   • Política de contraseñas. 
   • Copias de seguridad. 
   • Actualizaciones de seguridad. 
   • Antivirus. 
   • Política de confidencialidad (cifrado de dispositivos portátiles). 
   • Seguridad en la red (cortafuegos, sistema de detección de intrusiones, etc).
   • Política de acceso remoto (red privada virtual para teletrabajo).
   • Registro de actividad. 
   • Gestión de incidentes. 
4. No hay que olvidar la política de acceso físico a las instalaciones, así como la posibilidad de que un dispositivo ajeno a la organización se conecte a la red local o la red wifi. 
5. En el caso de que se contrate un servicio de hosting, se debe analizar qué medidas de seguridad ofrece el proveedor.

La Agencia de la Unión Europea para la Ciberseguridad (ENISA) cuenta con una publicación con doce prácticas medidas de alta calidad para ayudar a las pymes a proteger mejor sus sistemas y sus negocios. Te la dejamos aquí:

Por último, te dejamos algunos enlaces interesantes:

• Políticas de seguridad para la pyme | INCIBE
• ¿Conoces tus riesgos? | INCIBE

Herramientas digitales

• Autodiagnóstico de Ciberseguridad (Ministerio de Industria y Turismo)
• Autodiagnóstico de Madurez digital (Ministerio de Industria y Turismo)

En ASELEC Consultores la ciberseguridad es fundamental en la relación de confianza con nuestros clientes y por esta razón, cuentan, disponible sin ningún coste adicional, con la plataforma Expediente Digital, con un código de usuario y una contraseña dispondrás de toda la documentación de tu empresa en la asesoría en un espacio virtual seguro y fiable: todos los servicios prestados, todas las declaraciones fiscales presentadas, todas las nóminas mensuales, seguros sociales, contratos laborales, y cuantos informes contables o financieros hayas solicitado.

El Expediente Digital supone un medio de comunicación fiable y una copia de seguridad de la información. Te proporciona seguridad, comodidad, ahorro de tiempo y por lo tanto ahorro económico, para tu empresa u organización. Contacta con nosotros y pide una reunión sin compromiso.