La digitalización de las empresas es un hecho que cada vez va siendo más común. La tendencia actual, tanto de grandes como de medianas o pequeñas empresas, es a digitalizar sus procesos internos o sus diferentes bases de datos, con el objetivo de facilitar el trabajo al empresario, ahorrar en recursos y poder competir a nivel internacional ofreciendo sus servicios de manera global.
Este proceso de digitalización tiene una serie de consecuencias. Consecuencias que, si no se realiza la digitalización de forma correcta, puede ocasionar graves perjuicios para la empresa pudiendo incurrir en multas millonarias y responsabilidad vía judicial.
Por otro lado, el hecho de que una empresa cuente con un sistema de compliance tecnológico implementado, aumenta el valor de la compañía frente a posibles inversores y otorga una seguridad jurídica en todas aquellas relaciones que se pueden establecer alrededor de ésta.
Siguiendo con el proceso de digitalización, para asegurarnos de que éste, y su posterior mantenimiento y funcionamiento, se haga de forma correcta y acorde a las diferentes leyes que intervienen en el proceso, se deben implementar una serie de medidas destinadas a mitigar los riesgos que puedan surgir por un fallo de los sistemas informáticos o, de los agentes que intervengan en la actividad de la empresa.
La base legal de implementación de estas medidas de seguridad, también denominado como compliance tecnológico, reside actualmente en la Directiva NIS, el Real Decreto 3/2010 y el Reglamento General Europeo de Protección de Datos (RGPD).
La Directiva NIS interviene en toda acción que tenga efectos adversos reales en la seguridad de las redes y los sistemas de información. En relación con esta Directiva, ésta afecta a dos tipos de empresas: Los operadores de servicios esenciales y los proveedores de servicios digitales.
Los proveedores de servicios esenciales son aquellas entidades, públicas o privadas, cuya actividad empresarial va dedicada a sectores específicos, como el sector de la energía, el transporte, la banca y la salud. Por otro lado, al mismo tiempo, este tipo de entidades cumplen algunos criterios esenciales que lo califican como una entidad de ese tipo.
En la misma línea, el Real Decreto 3/2010 interviene en cualquier suceso inesperado o no deseado con consecuencias en detrimento de la seguridad de las redes y sistemas de información y el RGPD en todas aquellas violaciones de seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales o la comunicación o acceso no autorizados a dichos datos.
Las obligaciones que se establecen para las empresas, en un ámbito más general, son la definición de medidas técnicas y organizativas para la adecuada gestión de los riesgos de ciberseguridad, tanto si se trata de redes y sistemas propios como de proveedores externos y la gestión y resolución de incidentes de seguridad que afecten a las redes y sistemas de información utilizados para la prestación de sus servicios.
En caso de tratarse de una empresa considerada como prestadora de servicios esenciales, se establecen unas obligaciones adicionales a las mencionadas en el apartado anterior. Estas obligaciones adicionales consisten en la realización y aprobación de unas políticas de seguridad de redes y sistemas de información y la designación de un responsable de seguridad.
Las funciones a desarrollar por parte del responsable de seguridad serán las de elaborar y proponer para aprobación las políticas de seguridad, supervisar y desarrollar la adopción e implementación de las medidas técnicas y organizativas definidas en las políticas de seguridad, remitir a la autoridad competente las notificaciones de incidentes y interpretar y supervisar la aplicación de las instrucciones y guías emitidas por la autoridad competente.
Y a nivel práctico ¿Qué documentos recogen toda esta serie de obligaciones?
Los documentos que conforman el cuerpo normativo de la compliance tecnológica son los siguientes:
- Análisis de riesgos: En este documento, se contemplan, detectan y evalúan todos los riesgos en materia de ciberseguridad que podrían materializarse en la empresa.
- Plan de prevención: Es el documento en el que se describen las actuaciones concretas en materia de ciberseguridad a implementar, el plazo de implementación y los recursos destinados para dicha implementación.
- Protocolo de actuación técnica: Se describen los aspectos fundamentales que los trabajadores deben conocer en materia de ciberseguridad y todas las pautas técnicas de actuación que los trabajadores deben seguir en caso de brecha.
- Código de uso de herramientas tecnológicas: Es el documento en el que se especifica lo que los trabajadores pueden y no pueden hacer con las herramientas tecnológicas proporcionadas por la empresa, así como la facultad de la empresa de verificar su cumplimiento y las consecuencias disciplinarias del uso indebido de dichas herramientas.
Por otro lado, y a banda de haber realizado por parte de la compañía esta documentación de manera adaptada a la empresa, es muy recomendable la contratación de un seguro de ciberseguridad.
En líneas generales, la aplicación de este tipo de medidas en la empresa, tiene una triple función, que son la prevención de los posibles fallos que puedan tener los sistemas informáticos de la empresa, el conocer las medidas o protocolos a implementar por la empresa para mitigar los efectos de estos fallos y finalmente, la justificación frente a las autoridades de que se ha aplicado una serie de protocolos y medidas de seguridad internas y que, el fallo ocasionado o, la brecha de seguridad, se ha producido por un factor externo incontrolable.
En cuanto a que se haya podido producir una brecha de seguridad de datos personales dentro de la empresa y se haya notificado a las autoridades competentes, el hecho de tener implementado un sistema de compliance tecnológico, puede reducir la sanción que se le puede imponer a la empresa, hasta el punto de que se pueda evitar la multa en su totalidad.
Una vez implementada la compliance tecnológica, a banda de proteger nuestra empresa frente a posibles fallos de nuestros sistemas informáticos, como hemos comentado anteriormente, le da un valor adicional a la empresa. Frente a futuros inversores, le ofrece la seguridad de que la empresa tiene implementada unos mecanismos de prevención de fallos informáticos y por lo tanto, la seguridad de que la inversión que puedan realizar los interesados, tendrá un cierto nivel de calidad y valor.
 |
Antonio Almenara Abogado |