El martes, 19 de febrero de 2019, se celebró en el Club Financiero Génova la conferencia sobre el “Marco Normativo de Ciberseguridad en la Empresa”.
El evento fue organizado por el IFE – Instituto de Fomento Empresarial, en el cual participaron una serie de ponentes expertos en la materia.
Firmas como Écija Abogados, referente en España de Derecho de TMT, y compañeros del Departamento de Ciberseguridad de mrHouston, fueron exponiendo los riesgos, medidas, y retos de esta complicada y, cada vez, más conocida área del mundo digital.
Por lo tanto, centrándonos en la temática que fue impartida, veamos qué fue lo más destacado de cada una de las ponencias. Participantes de la conferencia como María González Moreno, Javier Arnaiz y Jesús Yáñez (Écija), y Manuel Fernández del Barrio y Álvaro Fernández de Araoz (mrHouston), nos resumen lo siguiente.
Aspectos destacados
La incesante evolución tecnológica y el uso masivo de las tecnologías de la información por los ciudadanos y empresas, ha hecho que Europa ponga la ciberseguridad dentro de un marco primordial de adaptación normativa.
En este sentido, el cuerpo normativo de la ciberseguridad en Europa está paulatinamente desarrollándose a través de normativas de rango europeo destinadas a armonizar los requisitos técnicos y legales de actores fundamentales en la sociedad de la información, como pueden ser:
Administraciones públicas.
proveedores de cloud.
operadores de mercado online o buscadores en línea.
España ha reflejado en su normativa nacional esta preocupación por la ciberseguridad,
Esto, no sólo con la normativa específica de protección de datos, sino también con las telecomunicaciones, infraestructuras críticas para la seguridad del estado o del comercio electrónico.
Evolución del marco normativo
Dentro de esta evolución del marco normativo de la ciberseguridad, la gestión de los incidentes y brechas de seguridad es un requisito que se ha trasladado a las empresas obligando a su gestión interna y a una diligente comunicación a los Centros de Respuesta a Incidentes competentes. La creación de un canal único de notificación de brechas de seguridad que coordine a las diferentes administraciones públicas implicadas es uno de los principales pasos para gestionar de una manera más eficiente estos incidentes que pueden llegar a tener un impacto negativo en la seguridad nacional.
Medidas de seguridad
Esta gestión interna de los incidentes por parte de las empresas conlleva igualmente una obligación legal de analizar el impacto y riesgo de las amenazas, así como de tener implantadas las medidas de seguridad técnicas y organizativas necesarias para dar cumplimiento tanto a la normativa de protección de datos, como a las diferentes materias que puedan tener un impacto en la ciberseguridad.
En relación a dichas medidas de seguridad, el Reglamento Europeo de Protección de Datos, a diferencia de la norma anterior, no establece medidas y controles concretos. Estas medidas deberán estar basadas en la necesidad de realizar un análisis de riesgos de tratamientos, sistemas, actividad y organización, y que permitan la determinación de las medidas que, cumpliendo los principios de seguridad establecidos en el art. 32 del RGPD (seudonomización y cifrado cuando sea posible; garantizar la seguridad, confidencialidad, integridad y disponibilidad de los datos; garantizar la capacidad de restaurar la disponibilidad y resiliencia de los datos; así como llevar a cabo controles y evaluaciones periódicas que aseguren la eficacia de las medidas técnicas implantadas. Igualmente, dentro de las novedades establecidas por la LOPDGDD (LO 3/2018, de 5 de diciembre).
Cabe destacar
Las infracciones directamente relacionadas con cuestiones de seguridad (implantación de medidas y procedimientos de brechas de seguridad, así como el reconocimiento del derecho de los ciudadanos a la Seguridad Digital).
Por otro lado, da lo mismo el tipo de herramientas o controles de seguridad que pongas si no formas debidamente a tus empleados (independientemente de cual sea su cargo) pues un ataque de ingeniería social se salta todos los controles y toda precaución es poca.
Además, hay que tener en cuenta que, ahora, el nivel de conocimiento técnico para hacer un ataque es muy bajo, por lo que cualquiera que tena interés puede llegar a hacerlo. Y es que existe una industria detrás de los ciberataques que busca, principalmente, un beneficio económico, y el objetivo puede ser cualquiera, desde usuarios de a pie hasta las grandes corporaciones.
___________________________________________________________
Vídeos de cada una de las conferencias impartidas:
- Hacking ético
- Gestión de brechas de seguridad en la práctica
- Implantación y prácticas habituales en la empresa española
- Nuevos retos de la seguridad – APTS
- RGPD y ciberseguridad
—————————————————————————————————————
¿Necesitas ayuda mantener segura a tu empresa?
Contacta con nosotros en el correo soluciones@mrhouston.net o en el teléfono 91 432 0286
Si quieres enterarte de todo tipo de novedades, temas técnicos y más, síguenos en nuestras redes X y Linkedin