Soledad Romero, asesora en ciberseguridad, pone en valor la importancia de cumplir las normativas sobre seguridad en la red. Así, avisa de que “solo se está bien preparado para responder si, por ejemplo, cumplimos el Reglamento Europeo de Protección de Datos o si aplicamos el Esquema Nacional de Seguridad”.
Antilavadodedinero / Vidaeonomica
Se pueden enumerar decenas de leyes distintas que las compañías deben respetar según su ámbito de trabajo. Por ejemplo, la Directiva e-Privacy es de obligado cumplimiento para el comercio electrónico. La Directiva NIS afecta a operadores de servicios esenciales, mientras que la DORA se aplica a las entidades bancarias.
A parte, existen los llamados estándares. Estos son unas normativas a las que las compañías pueden acogerse de forma voluntaria. Sirven para tener analizado todo el entorno de trabajo, detectar sus riesgos y localizar sus necesidades para tenerlo protegido frente a las amenazas. “Te ayuda a tener un ciclo continuo de revisión y de mejora”, indica Romero.
Hay diferentes tipos según las situaciones. Por ejemplo, un estándar específico para la gestión de ataques, o para la gestión de riesgos legales. Además, son para las empresas privadas; la administración pública debe cumplir el Esquema Nacional de Seguridad (ENS), recientemente actualizado y aprobado por el Consejo de Ministros.
El ENS engloba unas medidas que la administración tiene que cumplir, además de las empresas privadas que le presten servicios. “El ENS se le aplica a la administración pública en relación con los servicios que le presta a los ciudadanos. Por ejemplo, a una web de una consejería, que tiene que facilitar una determinada información”, explica la asesora.
Para que terceros sepan que una empresa o la administración están cumpliendo con algún estándar o con el ENS, pueden expedir una certificación. “Si eres una empresa que quieres mantenerte competitiva en el mercado, te interesa certificarte”, apunta Romero. “Es una manera de acreditar ante tus clientes que haces las cosas bien”.
Me han ciberatacado, ¿qué puedo hacer?
Existen varios organismos a los que se puede acudir en estos casos. Uno es el INCIBE, que pone a disposición de empresarios y asociaciones herramientas para la prevención, detección y respuesta a incidentes de ciberseguridad.Por otro lado, la Agencia Española de Protección de Datos (AEPD) es la autoridad estatal que garantiza y tutela el derecho fu27ndamental a esta protección. Así, se puede acudir a la AEPD como ciudadano para interponer una reclamación.
Como empresa, el INCIBE orientará a una compañía que haya sufrido un ciberataque sobre cómo solucionarlo. La Policía Nacional, la Guardia Civil o los juzgados también cuentan con cuerpos y fiscalías especiales.
“Si quieres poner una denuncia porque te han suplantado la identidad te puedes ir a la Guardia Civil, que tiene un grupo de delitos telemáticos. La Policía Nacional tiene otro”, enumera Soledad Romero. En cuanto a los juzgados, existe un fiscal especialista en estos delitos en cada provincia.
